CORS misconfiguration
SubDomain Takeoverتنظیمات CORS برای جلوگیری از دریافت درخواستهای HTTP از مبدا غیرمجاز صورت میگیرد. در صورتی که پیکربندی این تنظیمات بهدرستی انجام نشود یا به عبارت دیگر موارد زیر تنظیم شده باشد، مهاجم با سوءاستفاده از این آسیبپذیری میتواند کوکیها و اطلاعات کاربران یک سامانه را به سرقت ببرد و به اکانت کاربر نفوذ کند: • Access-Control-Allow-Origin: * • Access-Control-Allow-Credentials: true