什么是 CorsMe?
基于 golang 的 cors 错误配置扫描工具,注重速度和精度!
此扫描仪可以检查的错误配置类型
- 反映原点检查
- 前缀匹配
- 后缀匹配
- 未省略的点
- 无效的
- 第三方(如 => github.io、repl.it 等)
- 特殊字符(如 => “}”,“(”等)
- 更多内容请参阅高级 CORS 利用技术
如何安装
$ go get -u -v github.com/shivangx01b/CorsMe
用法
单一网址
echo "https://example.com" | ./CorsMe
多个 URL
cat http_https.txt | ./CorsMe -t 70
允许通配符..现在如果 Access-Control-Allow-Origin 是 * 它将会被打印
cat http_https.txt | ./CorsMe -t 70 -wildcard
如果需要,添加标题
cat http_https.txt | ./CorsMe -t 70 -wildcard -header "Cookie: Session=12cbcx...."
将输出保存在文件中
cat http_https.txt | ./CorsMe -t 70 -output audit.logs
如果需要,添加另一种方法
cat http_https.txt | ./CorsMe -t 70 -wildcard -header "Cookie: Session=12cbcx...." -method "POST"
提示
subfinder -d hackerone.com -nW -silent | ./httprobe -c 70 -p 80,443,8080,8081,8089 | tee http_https.txt
cat http_https.txt | ./CorsMe -t 70
截屏
笔记:
- 扫描仪将错误结果存储为“error_requests.txt”…其中包含无法请求的主机
国内下载链接
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
