WebP.pl
DARMOWE NARZĘDZIE

CORS Misconfiguration Scanner

Podaj adres URL, wybierz testowy Origin i uruchom szybki test CORS. Narzędzie online pokaże nagłówki CORS, poziom ryzyka oraz najważniejsze problemy z konfiguracją Twojego API. Profesjonalne narzędzie online, które działa w Twojej przeglądarce. Szybko, bezpiecznie i bez instalowania zbędnego oprogramowania.

Bezpieczne (SSL)
Przetwarzanie Lokalne
100% Darmowe
Przejdź do narzędzia
Instrukcja
  • 1
    Wprowadź dane
    Wpisz treść, wklej tekst lub załaduj plik z dysku.
  • 2
    Kliknij przycisk
    Narzędzie natychmiast przetworzy Twoje dane w przeglądarce.
  • 3
    Pobierz wynik
    Skopiuj gotowy tekst lub zapisz plik na urządzeniu.
function runTool() {
  return "Wynik gotowy w 0.1s";
}

CORS Misconfiguration Scanner

To narzędzie wykonuje zapytanie HTTP(S) do wskazanego adresu URL z nagłówkiem Origin i analizuje odpowiedź CORS (Access-Control-Allow-Origin, Credentials, Methods itd.). Pomaga wykrywać zbyt szerokie ustawienia (np. * lub zaufanie do obcych domen) i ocenia, czy konfigurację da się wykorzystać w scenariuszach XSS/CSRF/API. Używaj wyłącznie do audytu własnych serwisów lub tam, gdzie masz formalną zgodę.

Zakres analizy

Trwa wykonywanie zapytania HTTP(S) z nagłówkiem Origin i analiza nagłówków CORS...

Na podstawie nagłówków CORS nie wykryto oczywistych misconfigów. Pamiętaj, że to szybki test heurystyczny i nie zastępuje pełnego audytu aplikacji.

Powiązane narzędzia

Inne narzędzia, które mogą Ci się przydać
01
Subdomain Finder
Uruchom
02
SPF / DKIM / DMARC Security Checker
Uruchom
03
Cloud Vulnerability Scanner
Uruchom
04
Subdomain Takeover Checker
Uruchom
05
API Scanner
Uruchom
06
Port Scanner
Uruchom
07
HTTP Security Headers Analyzer
Uruchom
08
Cookie & Session Security Checker
Uruchom
09
IDOR / Access Control Helper
Uruchom
10
Mobile API Recon Helper
Uruchom
11
Google Hacking
Uruchom
12
DNS Security Analyzer (DNSSEC & hygiene)
Uruchom

CORS Misconfiguration Scanner online - szybki test nagłówków CORS dla Twojego API

Lepsza widoczność zachowania API

Narzędzie pokazuje nie tylko to, co odpowiada serwer, lecz także to, jak ten serwer traktuje wskazany Origin i czy różnicuje odpowiedzi w zależności od źródła żądania, co jest kluczowe dla zrozumienia, czy konfiguracja CORS jest celowa, czy przypadkowa.

Korzyść 3

Wsparcie dla zespołów bezpieczeństwa i developerów

CORS Misconfiguration Scanner jest czytelny zarówno dla osób z zespołów bezpieczeństwa, jak i dla developerów, dzięki czemu łatwiej jest wspólnie znaleźć kompromis pomiędzy wygodą integracji a rozsądnym poziomem ochrony zasobów, bez konieczności ręcznego analizowania każdej konfiguracji z osobna.

Jak korzystać z narzędzia krok po kroku

Interfejs skanera jest zaprojektowany w taki sposób, aby dało się wprowadzić adres zasobu, uruchomić test i odczytać wyniki praktycznie bez przygotowania, a jednocześnie osoby techniczne mają dostęp do surowych nagłówków i kluczowych parametrów odpowiedzi, jeśli chcą wejść głębiej w analizę.

  1. W polu adresu URL podaj endpoint API albo zasób HTTP lub HTTPS, który chcesz sprawdzić pod kątem CORS, na przykład https://api.twojadomena.pl/v1/users albo konkretny adres panelu.
  2. Jeśli chcesz, zmień limit czasu odpowiedzi, tak aby dopasować go do wydajności badanego systemu, zachowując widełki ustawione w narzędziu po to, aby uniknąć bardzo długiego wiszenia zapytań.
  3. Zdecyduj, czy chcesz wysyłać nagłówek Origin - domyślnie opcja jest włączona, co pozwala zobaczyć, jak serwer reaguje na konkretną domenę kliencką, na przykład front aplikacji single page lub domenę testową.
  4. Wpisz adres testowego Origin, jeżeli nie chcesz korzystać z wartości domyślnej, i kliknij przycisk uruchamiający skanowanie, a narzędzie wyśle wymagane zapytania i przygotuje raport na tej samej stronie.
  5. Przejrzyj podsumowanie, nagłówki CORS oraz listę wykrytych problemów, a następnie przekaż wyniki odpowiedniej osobie w zespole lub wykorzystaj je jako punkt wyjścia do dalszego, manualnego testowania bezpieczeństwa aplikacji.
Uwaga: narzędzie jest przeznaczone do testowania konfiguracji CORS w środowiskach, do których masz prawo dostępu oraz zgodę na wykonanie analizy, więc używaj go wyłącznie do audytu własnych serwisów lub systemów, które administrujesz albo testujesz w ramach legalnych zleceń bezpieczeństwa.

Przykładowe problemy, które może wykryć skaner CORS

Raport z CORS Misconfiguration Scanner jest oparty na konkretnych regułach, które analizują połączenie różnych nagłówków oraz odpowiedzi serwera, więc w praktyce zobaczysz nie tylko informację o tym, jaki nagłówek został ustawiony, lecz także prostą interpretację, co może to oznaczać z punktu widzenia bezpieczeństwa.

Typowe ostrzeżenia i błędy wysokiego poziomu

  • Ustawienie Access-Control-Allow-Origin: * wraz z Access-Control-Allow-Credentials: true, co w wielu przypadkach jest uważane za bardzo ryzykowne, ponieważ dowolna domena może próbować korzystać z zasobu z wykorzystaniem ciasteczek przeglądarki.
  • Odzwierciedlanie nagłówka Origin w nagłówku Access-Control-Allow-Origin dla domen zewnętrznych, co może wskazywać na zaufanie do obcych aplikacji webowych, które niekoniecznie powinny mieć pełny dostęp do API.
  • Konfiguracje, w których serwer szeroko otwiera listę metod lub nagłówków niestandardowych, a jednocześnie współpracuje z aplikacjami działającymi pod innymi domenami.

Informacje i ostrzeżenia niższego poziomu

  • CORS z włączonymi credentials tylko dla tego samego originu, co często jest akceptowalne, ale i tak warto mieć świadomość, jak dokładnie działa ochrona po stronie przeglądarki.
  • Informacja, że API działa po protokole HTTP zamiast HTTPS, co samo w sobie nie jest błędem CORS, ale ma ogromny wpływ na poufność przesyłanych danych i bezpieczeństwo ciasteczek.
  • Wskazanie, że wykryto konfigurację CORS bez oczywistych błędów, lecz w dalszym ciągu rekomendowane jest przetestowanie innych kombinacji nagłówków i metod w trakcie pełnego testu bezpieczeństwa.

Podgląd surowych nagłówków i szczegóły HTTP

Jeżeli chcesz samodzielnie przeanalizować odpowiedź serwera, w dolnej części raportu znajdziesz sekcję z surowymi nagłówkami odpowiedzi HTTP, gdzie możesz zobaczyć pełną treść pakietu nagłówków tak, jak został zwrócony przez serwer, co przydaje się zwłaszcza osobom z doświadczeniem w testach aplikacji i integracjach backendowych.

Podsumowanie zawiera także adres końcowy po przekierowaniach, status odpowiedzi oraz adres IP, który był końcowym celem zapytania, co pomaga zrozumieć, czy ruch trafił dokładnie tam, gdzie oczekiwano, czy może po drodze działały dodatkowe warstwy, takie jak serwery proxy, load balancery albo zapory aplikacyjne.

Bezpieczne i odpowiedzialne wykorzystanie narzędzia

CORS Misconfiguration Scanner jest narzędziem defensywnym, zaprojektowanym z myślą o administratorach, developerach oraz specjalistach od bezpieczeństwa, którzy potrzebują szybko sprawdzić konfigurację CORS w swoich serwisach, a nie o osobach, które chciałyby wykorzystywać błędy po stronie innych podmiotów.

Pamiętaj, że testowanie cudzych systemów bez zgody jest co najmniej nieetyczne, a w wielu jurysdykcjach może być niezgodne z prawem, więc korzystaj ze skanera wyłącznie tam, gdzie masz uprawnienia, i traktuj go jako wygodny sposób na wczesne wykrycie błędów konfiguracji zanim zostaną zauważone przez osoby trzecie.

Najczęstsze pytania o skaner konfiguracji CORS

Czy mogę używać CORS Misconfiguration Scanner do dowolnej strony w internecie

Narzędzie technicznie pozwala wysłać zapytanie HTTP lub HTTPS do podanego adresu, ale zgodne z dobrymi praktykami bezpieczeństwa jest wykorzystywanie go wyłącznie do serwisów, które należą do Ciebie albo których właściciel dał Ci jednoznaczną zgodę na przeprowadzenie testów, dlatego zalecamy ograniczenie się do własnych API, paneli administracyjnych oraz środowisk testowych.

Co oznacza, że narzędzie wykryło konfigurację CORS bez oczywistych błędów

Jeżeli raport pokazuje konfigurację CORS bez oczywistych błędów, oznacza to tylko tyle, że w oparciu o przygotowane reguły nie zauważono popularnych, znanych problemów, takich jak wildcard połączony z credentials albo bezrefleksyjne zaufanie do obcych domen, natomiast nie jest to formalny audyt bezpieczeństwa pełnego kodu aplikacji, a jedynie pomocnicza analiza zachowania serwera z perspektywy przeglądarki.

Czy wynik skanu powinienem traktować jako ostateczną ocenę bezpieczeństwa mojego API

Nie, skaner CORS jest jednym z wielu narzędzi, które możesz wykorzystać podczas pracy nad bezpieczeństwem, więc jego wyniki warto połączyć z testami automatycznymi, przeglądem konfiguracji serwera, analizą logów oraz, jeśli to możliwe, z niezależnym audytem bezpieczeństwa lub testami penetracyjnymi wykonywanymi przez specjalistów.

Przetestuj swoją konfigurację CORS w kilka sekund

Wpisz adres URL, wybierz testowy Origin, kliknij skanowanie i zobacz, jak Twoje API reaguje na zapytania z przeglądarki, zanim zrobi to ktoś inny.

Bez instalacji, bez logowania, z jasnym raportem w jednym miejscu.