Товарищи, нужна подсказка! Имею программу где конечная точка API уязвима к

мисконфигу CORS (Origin: null)
Соответственно чтоб вернуть данные с этой точки, мне нужен iframe sandbox, чтоб Origin был отправлен как null
Но, я не могу получить доступ к API эндпоинт напрямую, только при подгрузке сайта.
Вопрос, могу ли я как-то это обойти? Бьюсь уже 2 недели
Благодарю

еще 2 побейся

К чему это? ты мог просто промолчать

я решил высрать что-нибудь

Уважаемо

Ты не понял. Мне нужно дернуть данные юзера из этой точки. Свои данные я и так потянуть могу

конечно он не понял. у тебя есть еще 2 недели

В окно с таким чувством юмора выйди (ни одного полезного сообщения в этом чате нет, выйди хотя бы из него)

Так ты можешь грузануть нужные куки и делать курлом то же самое, что и в браузере

согласен

https://portswigger.net/web-security/cors/lab-null-origin-whitelisted-attack Это то, что я пытаюсь реализовать. Но я не могу просто построить пейлоад для юзера, так как нет возможность стукать в API. Он становится доступным только когда сайт подгружен. Теперь мне нужно понять, могу ли я построить клиентскую атаку или же это не возможно по какой-то причине (хорошо бы понять по какой)

Ты выяснил, какие именно условия должны быть для отправки запроса к API? Какие отличия между отправкой с сайта и из iframe? Может быть какие-то заголовки?

А что значит "сайт подгружен"

Да (как мне кажется). Когда мы топаем на сайт, нам отдают в Set-cookie много разных значений. Из важных сама сессия и токен, который потом становится X-Authentication-Token хедером Подставляя этот заголовок меня пускает к API. Фишка в том, что при обращении через iframe этот токен проскальзывает, так как юзер авторизован. Но JS не дает возможностей возвращать содержимое запроса(

Когда для общения с api нужен кастомный хедер, корс не проэкплуатируешь

Спасибо, теперь все предельно понятно. Я просто не смог найти инфо на эту тему, поэтому возился

Очень даже даёт, его прямо в браузере даже можно о редактировать перед повторной отправкой запроса

withCredentials true, подставляет только cookie и authorization basic вроде

Можешь меня ткнуть в ссыль или сказать что глянуть, так как я не нашел

В первом ответе?

Запросе!

В запросе то откуда Кука возьмётся? Ее сначала получить надо

Ну если там есть уязвимая корс ручка, которая по куке вернет авторизационный токен в теле, то тогда да.

Авторизация же для валидного юзера. Потом его куки уже для запроса не документированного

Нет возможности в эксплуатации, так как у тебя нет ни куки ни токена. Единственный вариант, который вижу, это если какие-то ручка или страница возвращает токен/конфиденциальные данные

Я бы еще Web Cache Deception смотрел или просто Cache. Это конечно не CORS, но проблемы модные сейчас. В первом случае заставить пользователя закешировать интересующую тебя страницу и затем дернуть, а во втором тоже самое, только просто ответ кешируется и ты его можешь дернуть без всяких кук или токенов (анонимный доступ)

Спасибо, смотрел кеш, там флаг privat Так что не получится

Можно ссылку почитать п по такие кейсы?

https://t.me/shadow_group_tg/785

Грёбаные лайко-спамеры ((( Шлите репорты на них с мобилок, что бы их телега быстрее забанила и это стало так же не эффективно, как и обычный спам

Окей

ставит лайки без входа в группу?

Да, типа того. И в био ссылка на закрытый паблик