amnnrth/CVE-2025-34291_cors_security_scanner

# CVE-2025-34291_CORS_安全扫描器 一个轻量级的基于 Python 的安全评估工具，用于检测危险的跨源资源共享（CORS）配置错误 - CVE-2025-34291。 ``` # CORS 安全扫描器 A lightweight Python-based security assessment tool for detecting dangerous Cross-Origin Resource Sharing (CORS) misconfigurations. This tool helps identify: - Wildcard CORS policies (`*`) - Arbitrary origin reflection - Credentialed CORS misconfigurations - Dangerous preflight (`OPTIONS`) behavior - SameSite cookie issues Designed for: - Authorized penetration testing - Internal security assessments - Bug bounty programs - Defensive security research --- # 功能 - Single target scanning - Bulk target scanning via TXT file - Multi-threaded scanning - XLSX report export - JSON report export - Preflight request analysis - Multiple endpoint/path testing - Severity classification - Colored console output --- # 安装 Clone repository: ```bash git clone https://github.com/amnnrth/CVE-2025-34291_cors_security_scanner.git cd CVE-2025-34291_cors_security_scanner ``` 安装依赖项： ``` pip install -r requirements.txt ``` # 使用方法 运行扫描器： ``` python3 cors_scanner.py ``` # 批量扫描示例 创建 `targets.txt` 文件。 ``` https://example.com https://api.example.com target.com ``` 选择： ``` 2. Bulk Scan (TXT File) ``` 报告将自动保存至： ``` reports/ ``` # 严重性级别 | 严重性 | 描述 | | ------ | ---------------------------------- | | INFO | 未检测到危险行为 | | MEDIUM | 允许使用通配符来源 | | HIGH | 检测到来源反射 | | CRITICAL | 带凭据的反射/通配符 | | ERROR | 连接或 SSL 问题 | # 示例漏洞头部 ``` Access-Control-Allow-Origin: * ``` ``` Access-Control-Allow-Origin: https://evil.com Access-Control-Allow-Credentials: true ``` # 法律免责声明 本工具**仅**用于经授权的安全测试和防御性安全研究。 未经授权对系统进行扫描可能违反法律法规。 用户有责任遵守适用的法律和政策。 # 作者 旨在提升 Web 应用程序安全意识的安全研究与防御工具项目。 ``` Simple repository description: ```txt id="wcruhf" Python-based CORS misconfiguration scanner for authorized security testing with XLSX/JSON reporting support. ```

标签：Bug bounty工具, CodeQL, CORS安全, CVE-2025-34291, SameSite cookie检查, SMB, Web安全, 严重性分类, 代码生成, 多线程扫描, 安全评估工具, 报告导出, 无服务器架构, 渗透测试工具, 网络安全, 蓝队分析, 逆向工具, 错误配置检测, 防御性安全, 隐私保护, 预检请求分析