CORS misconfiguration
SubDomain Takeoverتنظیمات CORS برای جلوگیری از دریافت درخواست های HTTP از مبدا غیرمجاز صورت میگیرد. در صورتی که پیکربندی این تنظیمات به درستی انجام نشود یا به عبارت دیگر موارد زیر تنظیم شده باشد، مهاجم با سوءاستفاده از این آسیب پذیری میتواند کوکی ها و اطلاعات کاربران یک سامانه را به سرقت ببرد و به اکانت کاربر نفوذ کند: • Access-Control-Allow-Origin: * • Access-Control-Allow-Credentials: true