⌘K
ENES
GitHub
conceptSeguridad Web~4 min de lecturaActualizado Apr 29, 2026#cybersecurity#web-security#cors

CORS Misconfiguration

Definición

La mala configuración de CORS ocurre cuando la política de cross-origin resource sharing de un servidor es demasiado permisiva, está incorrectamente implementada, o se malentiende como sustituto de una autorización real del lado del servidor.

Por qué importa

CORS es ampliamente malentendido. Los equipos frecuentemente lo tratan como si fuera un mecanismo de control de acceso, cuando en realidad es una política que el navegador aplica sobre si una respuesta puede ser leída por un origen solicitante.

Esta confusión lleva a bugs donde:

  • se reflejan orígenes arbitrarios
  • las credenciales se permiten demasiado ampliamente
  • la lógica de orígenes de confianza es débil
  • los desarrolladores asumen que CORS bloquea ataques que en realidad no bloquea

Cómo funciona

El mecanismo es:

  1. el navegador envía un header Origin
  2. el servidor responde con headers Access-Control-*
  3. el navegador decide si el origen que hace la llamada puede leer la respuesta

El error del lado del servidor suele ser uno de estos:

  • reflejar orígenes arbitrarios
  • usar patrones de confianza demasiado amplios
  • permitir credenciales con manejo inseguro del origen
  • asumir que CORS equivale a autorización

La forma peligrosa — origen arbitrario reflejado con credenciales permitidas — se ve así:

GET /api/me HTTP/1.1
Host: api.example.com
Origin: https://attacker.example
Cookie: session=...

HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://attacker.example
Access-Control-Allow-Credentials: true

{"email":"victim@example.com","balance":12345}

Una página en attacker.example puede ahora llamar fetch("https://api.example.com/api/me", {credentials: "include"}) y leer el cuerpo de la respuesta de la víctima. El navegador no impuso nada, porque el servidor le dijo que el origen del atacante es de confianza.

El mismo antipatrón aparece con regexes descuidadas — por ejemplo, confiar en cualquier origen que coincida con *.example.com cuando un atacante puede registrar example.com.attacker.com o tomar control de un subdominio abandonado.

Técnicas / patrones

Los atacantes generalmente testean:

  • comportamiento del Origin reflejado
  • confianza de origen basada en wildcards o patrones
  • requests con credenciales
  • diferencias en el preflight
  • variaciones de esquema / subdominio
  • si los equipos confían en CORS donde debería existir autenticación real

Variantes y bypasses

Origen reflejado

El servidor refleja cualquier origen que envíe el cliente.

CORS con credenciales inseguro

Un patrón peligroso donde se permiten credenciales y la confianza en el origen es demasiado amplia.

Confianza excesiva en subdominios

La política confía en un namespace que el atacante puede influenciar.

Inconsistencia preflight / ruta

Una ruta o método es más estricto que otro.

Confusión CORS vs CSRF

Los equipos creen que CORS bloquea a los atacantes cuando el CSRF puede seguir teniendo éxito.

Malentendidos con clientes no-navegador

CORS es una política del navegador. Los clientes que no son navegadores no le prestan atención.

Impacto

Impacto típico:

  • un origen controlado por el atacante puede leer respuestas sensibles de la API
  • los requests del navegador con credenciales se vuelven legibles cross-origin
  • las suposiciones de confianza en el origen amplían la exposición de datos
  • los administradores o víctimas con sesión iniciada se convierten en fuentes útiles de datos cross-origin

Detección y defensa

Ordenado por efectividad:

1. Tratar CORS como política del navegador, no como autorización CORS controla si el navegador permite que un script lea una respuesta cross-origin. No autentica ni autoriza al llamante. La autorización real debe seguir viviendo en el servidor. Si el argumento de defensa de un endpoint se reduce a "CORS no les dejará leerlo", el endpoint no está realmente protegido.

2. Enumerar explícitamente los orígenes de confianza Comparar el header Origin contra una allowlist del lado del servidor de orígenes completos (esquema + host + puerto). No reflejar el Origin del request. No hacer match por endsWith ni por regex sin límites — eso generalmente permite subdominios controlados por el atacante o hosts similares.

3. Tener cuidado con el acceso cross-origin con credenciales Access-Control-Allow-Credentials: true combinado con un origen permisivo es la combinación más peligrosa. Si se requieren credenciales, la allowlist debe ser exacta y pequeña. Lo ideal es que las APIs sensibles que toman cookies no sean accesibles cross-origin en absoluto.

4. Revisar juntos el comportamiento del preflight y el no-preflight Muchos bugs vienen de inconsistencias — la respuesta al preflight es estricta, pero el handler del request real es permisivo (o viceversa). Testear tanto OPTIONS como el método real contra cada endpoint interesante.

5. Separar los recursos públicos de las APIs sensibles Los assets estáticos sin credenciales pueden usar Access-Control-Allow-Origin: *. Cualquier cosa que lea una sesión, devuelva datos específicos del usuario, o acepte una llamada que cambie estado nunca debería compartir esa política.

6. No depender de CORS para prevenir CSRF CORS controla las lecturas de respuestas cross-origin. Los navegadores pueden seguir enviando requests cross-origin que cambian estado (envíos de formularios, requests simples). El CSRF requiere su propia defensa — tokens, cookies SameSite, o verificaciones de origin/referer en las rutas que cambian estado.

7. Monitorear Estar atento a: reflexión de Origin en respuestas de producción, Access-Control-Allow-Credentials: true combinado con un origen no allowlisteado, y orígenes inesperados apareciendo en endpoints sensibles. El escaneo activo con un CORS-fuzzer (CORStest, Corsy) detecta las formas más comunes.

Ejemplos prácticos

  • la API refleja un Origin arbitrario y permite la lectura del lado del navegador
  • el patrón de subdominio de confianza amplio incluye orígenes que el atacante puede influenciar
  • un endpoint sensible autenticado por cookie es legible desde un origen externo inesperado
  • el equipo cree que CORS previene el CSRF, dejando vacíos de validación de intención en otro lado

Notas relacionadas

Referencias

  • Fundamental: MDN CORS guide — https://developer.mozilla.org/en-US/docs/Web/HTTP/Guides/CORS
  • Fundamental: OWASP WSTG latest — https://owasp.org/www-project-web-security-testing-guide/latest/
  • Testing / Lab: PortSwigger CORS topic — https://portswigger.net/web-security/cors
  • Investigación / Deep Dive: PortSwigger, "Exploiting CORS misconfigurations for Bitcoins and bounties" — https://portswigger.net/research/exploiting-cors-misconfigurations-for-bitcoins-and-bounties

Notas relacionadas

Seguridad WebPolítica del mismo origen (SOP)La política del mismo origen (SOP, same-origin policy) es la regla de aislamiento fundamental del navegador: un script corriendo en un origen puede leer libremente el contenido, el DOM y el estado guardado de otro recurso solo si ese recurso comparte su origen — de lo contrario el navegador bloquea la lectura. Un origen es la tupla (esquema, host, puerto); los tres deben coincidir exactamente. La SOP es la frontera default-deny que toda otra mecánica de aislamiento web (CORS, CORP/COEP/COOP, cookies, postMessage) relaja o refuerza. Si entendés una sola primitiva de seguridad web, debería ser esta. Seguridad WebFallas de autenticaciónLas fallas de autenticación son debilidades en cómo una aplicación verifica la identidad. Incluyen lógica de login débil, enumeración de usuarios, flujos de MFA rotos, debilidades en el reset de contraseña, exposición a credential stuffing y supuestos defectuosos alrededor de la emisión de sesiones/tokens. Seguridad WebBot Detection SignalsLas señales de detección de bots son atributos observables de requests HTTP, sesiones de navegador y patrones de comportamiento que diferencian el tráfico automatizado del tráfico humano legítimo. No existe una señal única suficiente — la detección efectiva puntúa múltiples familias de señales en conjunto. Seguridad WebControl de acceso rotoEl control de acceso roto (broken access control) ocurre cuando una aplicación no logra imponer a qué puede acceder o qué puede hacer un llamante. Seguridad WebFronteras de seguridad del navegadorLas "fronteras de seguridad del navegador" son el stack en capas de fronteras de aislamiento que un navegador moderno impone entre contenido web — no una sola regla sino cinco fronteras que operan a distintas granularidades: origen (acceso de script), sitio (estado), proceso (memoria), agent cluster (APIs poderosas) y partición de almacenamiento (estado cross-site). La política del mismo origen es la más interna de estas; las otras se agregaron (mayormente 2019–2025, aceleradas por Spectre y por el trabajo de privacidad) porque el aislamiento a nivel de origen por sí solo ya no aguanta contra los canales laterales especulativos y el tracking cross-site. Un "bypass de seguridad del navegador" es casi siempre encontrar la única capa de este stack que no aguantó. Seguridad WebBusiness Logic VulnerabilitiesLas vulnerabilidades de lógica de negocio son fallas en el flujo de trabajo previsto, suposiciones, invariantes o diseño de reglas de una aplicación, donde el sistema se comporta como fue codificado pero no de forma segura según la intención.