Nuevos labs cada semana — Accede a todos desde 5€/mes

Labs de CORS

CORS Misconfiguration

¿Qué es CORS?

Las CORS Misconfigurations permiten que sitios maliciosos lean respuestas de APIs con datos sensibles del usuario víctima. Suele combinar reflection de Origin sin allowlist + Access-Control-Allow-Credentials: true, una combinación letal documentada por OWASP como crítica.

¿Por qué practicar CORS?

CORS es uno de los frentes peor entendidos en backend. Las regex sloppy (`/^https?://.*\.app\.com/`) y los reflectores sin allowlist son sorprendentemente comunes. Bounty típico: $1,500-$10,000 por exfil de PII de la API /me.

¿Qué aprenderás con los labs de CORS?

Aprenderás a auditar Access-Control-Allow-Origin y -Allow-Credentials, las 5 misconfigs clásicas (reflection, null, subdomain wildcard, regex bypass, third-party trust), y a montar un PoC con `fetch(target, {credentials:'include'})` que demuestre robo real de datos.

Tipos de CORS que cubrimos

Reflected origin + credentials
El servidor refleja Origin y manda Allow-Credentials: true. Cualquier sitio puede leer la API logueada.
Null origin trick
Origin: null se envía desde sandboxed iframes y data: URLs. Si el server lo permite, abusable cross-origin.
Subdomain wildcard
*.app.com permitido — un XSS o subdomain takeover en cualquier sub permite robar la API principal.
Regex bypass
Allowlist con regex débil: `evil.com.app.com` o `app.com.evil.com` matchean si la regex no ancla con $.

Aprende la teoría

Academy: CORS Misconfiguration

Cargando labs...

Ver en catálogo completo →

Otras categorías relacionadas

SSRF

Server-Side Request Forgery (SSRF)

CSRF

Cross-Site Request Forgery (CSRF)

XSS

Cross-Site Scripting (XSS)

→ Ver todas las vulnerabilidades → Academy gratuita → Precios desde 5€/mes

Empieza con labs de CORS

Practica CORS Misconfiguration con labs basados en reportes reales. En español. Desde 5€/mes.

Empieza con el primer lab de CORS