CORS 错误配置扫描程序
介绍
Corsy 是一个轻量级程序,可以扫描 CORS 实现中所有已知的错误配置。
要求
Corsy 仅与Python 3一个依赖项一起使用:
requests
要安装此依赖项,请导航到 Corsy 目录并执行pip3 install requests
用法
使用 Corsy 非常简单
python3 corsy.py -u https://example.com
从文件中扫描 URL
python3 corsy.py -i /path/urls.txt
从标准输入扫描 URL
cat urls.txt | python3 corsy.py
线程数
python3 corsy.py -u https://example.com -t 20
请求之间的延迟
python3 corsy.py -u https://example.com -d 2
将结果导出为 JSON
python3 corsy.py -i /path/urls.txt -o /path/output.json
自定义 HTTP 标头
python3 corsy.py -u https://example.com --headers "User-Agent: GoogleBot\nCookie: SESSION=Hacked"
跳过打印提示
-q可用于跳过输出中的description、severity、字段的打印。exploitation
实施测试
- 域名前绕过
- 域名后绕过
- 绕过反引号
- 零原点绕过
- 未转义的点绕过
- 下划线绕过
- 值无效
- 通配符值
- 原点反射测试
- 第三方补贴测试
- HTTP 允许测试
国内下载链接
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
