FixVibe
Covered by FixVibehigh

CORS Míchumrú: Rioscaí a bhaineann le Polasaithe Ró-cheadaithe

Meicníocht brabhsála is ea Comhroinnt Acmhainne Tras-Thionscnaimh (CORS) atá deartha chun an Beartas Comhthionscnaimh (SOP) a mhaolú. Cé go bhfuil gá le feidhmchláir ghréasáin nua-aimseartha, féadfaidh cur i bhfeidhm míchuí - mar mhacalla ceanntásc Bunús an iarrthóra nó an tionscnamh 'null' a liostú - ligean do shuíomhanna mailíseacha sonraí úsáideoirí príobháideacha a dhí-scagadh.

CWE-942

Tionchar

Is féidir le hionsaitheoir sonraí íogaire, fíordheimhnithe a ghoid ó úsáideoirí feidhmchláir leochaileacha [S2]. Má thugann úsáideoir cuairt ar shuíomh Gréasáin mailíseach agus é logáilte isteach san aip leochaileach, is féidir leis an suíomh mailíseach iarratais tras-thionscnaimh a dhéanamh ar API na haipe agus na freagraí a léamh [S1][S2]. D’fhéadfadh goid faisnéise príobháidí a bheith mar thoradh air seo, lena n-áirítear próifílí úsáideoirí, comharthaí CSRF, nó teachtaireachtaí príobháideacha [S2].

Fréamhchúis

Is meicníocht HTTP-bhunaithe é CORS a ligeann do fhreastalaithe a shonrú cé na bunús (fearann, scéim, nó port) a bhfuil cead acu acmhainní a luchtú [S1]. Tarlaíonn leochaileachtaí go hiondúil nuair a bhíonn polasaí freastalaí CORS ró-solúbtha nó nuair nach gcuirtear i bhfeidhm é [S2]:

  • Ceanntásc Léirithe Bunús: Léann roinnt freastalaithe an ceanntásc Origin ó iarratas cliant agus macalla arís é sa cheanntásc freagartha Access-Control-Allow-Origin (ACAO) [S2]. Ligeann sé seo go héifeachtach d’aon suíomh Gréasáin rochtain a fháil ar an acmhainn [S2].
  • Cártaí Míchumraithe: Cé go gceadaíonn an saoróg * rochtain a fháil ar acmhainn ar bith, ní féidir é a úsáid le haghaidh iarratais a dteastaíonn dintiúirí uathu (cosúil le fianáin nó ceanntásca Údaraithe) [S3]. Is minic a dhéanann forbróirí iarracht é seo a sheachbhóthar tríd an gceanntásc ACAO a ghiniúint go dinimiciúil bunaithe ar an iarratas [S2].
  • Liosta bán 'null': Liostaíonn roinnt feidhmchlár an tionscnamh null, ar féidir iad a spreagadh le hiarratais atreoraithe nó le comhaid áitiúla, rud a ligeann do shuíomhanna mailíseacha masquerade mar bhunadh null chun rochtain a fháil ZXCVFIXVIBETOKEN2ZVENCVZVCV.
  • Earráidí Parsála: Is féidir le botúin i regex nó meaitseáil teaghrán agus an ceanntásc Origin á bhailíochtú ligean d'ionsaitheoirí fearainn mar trusted-domain.com.attacker.com [S2] a úsáid.

Tá sé tábhachtach a thabhairt faoi deara nach cosaint é CORS i gcoinne Brionnú Iarratas Trassuíomh (CSRF) [S2].

Ceartúcháin nithiúla

  • Úsáid Liosta Bán Statach: Seachain an ceanntásc Access-Control-Allow-Origin a ghiniúint go dinimiciúil ó cheanntásc Origin an iarratais [S2]. Ina áit sin, déan comparáid idir bunús an iarratais agus liosta de na fearainn iontaofa a bhfuil cód crua orthu [S3].
  • Seachain an Bunús 'null': Ná cuir null i do bhánliosta de bhunús ceadaithe [S2] choíche.
  • Srian ar Dhintiúir: Ná socraigh Access-Control-Allow-Credentials: true ach amháin má tá fíorghá leis don idirghníomhaíocht shonrach tras-tionscnaimh [S3].
  • Úsáid Bailíochtú Cuí: Más gá duit tacú le bunús iolrach, cinntigh go bhfuil an loighic bailíochtaithe don cheanntásc Origin láidir agus nach féidir le fofhearainn ná le fearann comhchosúla é a sheachbhóthar [S2].

Conas a thástálann FixVibe é

Áiríonn FixVibe é seo anois mar sheic ghníomhach le geata. Tar éis fíorú fearainn, seolann active.cors iarratais den bhunadh céanna API le tionscnamh ionsaitheoir sintéiseach agus athbhreithníonn sé ceanntásca freagartha CORS. Tuairiscíonn sé go léirítear bunús treallach, creidiúnú cárta saoróg CORS, agus CORS leathan-oscailte ar chríochphointí neamhphoiblí API agus torann sócmhainní poiblí á sheachaint.