FixVibe
Covered by FixVibehigh

ukax mä juk’a pachanakanwa CORS Jan wali configuración: Riesgos de Políticas Sinti Permisivas ukanaka

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG2 ukax mä juk’a pachanakanwa Cross-Origin Resource Sharing (CORS) ukax mä mecanismo de navegador ukawa, ukax Política de Origen de Pachama (SOP) ukar samarañapatakiw wakicht’ata. Jichha pacha web apps ukatakix wakisiskchisa, jan wali phuqhawix —kunjamakitix mayirin Origen p’iqinchäwip eco jan ukax ‘nulo’ origen ukar janq’u listar uñt’ayaña— jan wali sitios ukanakarux privado usuario ukan yatiyawinakap exfiltrar ukarux jaysaspawa.

CWE-942

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG3 ukax mä juk’a pachanakanwa

Impacto ukax mä juk’a pachanakanwa

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG4 ukax mä juk’a pachanakanwa Mä atacador ukax mä vulnerable aplicación [S2] uka apnaqirinakat sensitivo, autenticado datos ukanak lunthataspawa. Mä apnaqirix mä jan wali sitio web ukar mantaspa ukhax vulnerable app ukar mantaspa ukhaxa, jan wali sitio ukax cruzado origen mayiwinak luraspa app ukan API ukat jaysawinak uñakipaspa [S1][S2]. Ukax sapa mayni yatiyawinak lunthatasiñaruw puriyaspa, ukax perfiles de usuario, tokens CSRF, jan ukax privado yatiyawinak [S2].

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG5 ukax mä juk’a pachanakanwa

Saphi Kausa

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG6 ukax mä juk’a pachanakanwa CORS ukaxa HTTP-p’iqinchata lurawiwa, ukaxa servidores ukanakaruxa qhananchañapawa kawkiri origen (dominio, esquema, jan ukaxa puerto) ukaxa jaysatawa recursos [S1]. Vulnerabilidades ukax jilpachax uñstawayiwa kunawsatix mä servidor ukan CORS kamachipax sinti flexible jan ukax jan wali phuqhatäki [S2]:

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG7 ukax mä juk’a pachanakanwa

  • Origen reflejado p’iqinchawi: Yaqhipa servidores ukanakaxa Origin p’iqinchawi uñakipapxi mä cliente mayiwi tuqita ukatxa eco kutt’ayaña Access-Control-Allow-Origin (ACAO) jaysawi p’iqinchawi [S2]. Ukax wali askiwa kuna sitio web ukax recurso [S2] ukar mantañapataki.

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG8 ukax mä juk’a pachanakanwa

  • Jan wali wakicht’at comodín: * comodín ukax kuna originariorus mä yär mantañapatak jayskchixa, janiw mayiwinakatakix apnaqatäkaspati, ukax credenciales ukaruw munasi (cookies jan ukax Autorización p’iqinchanakarjama) [S3]. Uñakipirinakax walja kutiw ukax jan walt’ayañ yant’apxi, ACAO p’iqinchaw dinámicamente uñstayasa, ukax mayiwi [S2] ukarjam luratawa.

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG9 ukax mä juk’a pachanakanwa

  • Janq’u uñt’ayaña ‘null’: Yaqhipa lurawinakaxa janq’u lista null uñstawipa, ukaxa ch’amanchasispawa mayt’awinaka mayt’awinakampi jan ukaxa local archivonakampi, ukhamata jan wali chiqanakaru mascarada ukhama null originario ukhama [S2][S3] ukax mä juk’a pachanakanwa.

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG10 ukat juk’ampinaka

  • Parsing Pantjasiwi: Pantjasiwi regex jan ukax cadena ukar uñtasita kunawsatix Origin p’iqinchaw chiqanchaski ukhax atacantes ukanakarux dominios ukanakamp apnaqañapatakiw jayti, trusted-domain.com.attacker.com [S2].

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG11 ukat juk’ampinaka Wali askiw yatiñax CORS ukax janiw mä jark’aqawikiti Falsificación de Solicitud de Sitio Cruzado (CSRF) [S2] ukata.

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG12 ukat juk’ampinaka

Hormigón ukax askichatawa

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG13.Ukaxa mä juk’a pachanakwa lurasi

  • Janq’u Lista Estática apnaqaña: Janiwa dinámicamente lurañakiti Access-Control-Allow-Origin p’iqinchawi mayiwi Origin p’iqinchawi [S2]. Ukhamakipansti, mayiwix uñstawip uñakipt’aña, mä lista hardcoded ukamp chikancht’asi, ukax dominios confiables [S3].

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG14 ukat juk’ampinaka

  • Jan ‘nulo’ Origen: Janipuniw null ukax janq’u lista ukanx permitido origen [S2] ukarux uñt’ayañakiti.

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG15 ukat juk’ampinaka

  • Credenciales ukar jark’aña: Access-Control-Allow-Credentials: true ukakiw utt’ayaña, ukax chiqpachapuniw wakisi, ukax específica cruzada interacción [S3] ukataki.

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG16 ukat juk’ampinaka

  • Suma chiqanchawi apnaqaña: Walja originarionak yanapt’añax wakisispa ukhaxa, Origin p’iqinchiritakix lógica de validación ukax ch’amaniwa ukatx janiw subdominios jan ukax uñtasit uñtañ dominios [S2] ukax pasañapakiti.

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG17 ukat juk’ampinaka

Kunjams FixVibe ukax ukatakix yant’i

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG18 ukat juk’ampinaka FixVibe jichhax akax mä gated activo chequeo ukham uñt’ayi. Dominio chiqanchawi tukuyatatxa, active.cors ukaxa pachpa originario API mayiwinakxa sintético atacador originario ukampiwa khitharaki ukatxa CORS jaysawi p’iqinchanaka uñakipi. Uka yatiyawinakax arbitrariu origen uñacht’ayi, credencial comodín CORS, ukat jach’a jist’arat CORS ukax jan público API tukuyañ chiqanakanx kunawsatix activos públicos ukan ch’axwawip jark’aqañataki.