CORS Reports

Unauthorized Access to PII Leads to Administrator account Takeover CSRF CORS

Request đến endpoint https://www.mtn.com/wp-json/wp/v2/users/9 có chứa email và ACAO header reflect lại Origin header.

Dẫn đến, attacker có thể thực hiện CSRF attack để đánh cắp email của người dùng¹.

CORS bypass on TikTok Ads Endpoint CORS

Một endpoint của TikTok Ads portal có CORS policy có thể bị bypass và dẫn đến là attacker có thể truy cập vào thông tin của ticket đang mở nếu user click vào một malicious link (mà có thực hiện cross-origin request).

CORS Misconfiguration Which Leads to the Disclosure CORS

Attacker gửi request đến /wp-json/wp/v2 với Origin là evil.com thì thấy rằng nó được reflected ở trong response:

Access-Control-Allow-Origin: http://evil.com
Access-Control-Allow-Methods: OPTIONS, GET, POST, PUT, PATCH, DELETE

Điều này dẫn đến việc disclose thông tin nhạy cảm ở endpoint.

Xem thêm Vulnerabilities Arising From CORS Configuration Issues ↩

Quartz 🪬

Explorer

CORS Reports

Unauthorized Access to PII Leads to Administrator account Takeover CSRF CORS

CORS bypass on TikTok Ads Endpoint CORS

CORS Misconfiguration Which Leads to the Disclosure CORS

Table of Contents

Quartz 🪬

Explorer

CORS Reports

Unauthorized Access to PII Leads to Administrator account Takeover CSRF CORS

CORS bypass on TikTok Ads Endpoint CORS

CORS Misconfiguration Which Leads to the Disclosure CORS

Footnotes

Table of Contents