FixVibe
Covered by FixVibehigh

CORS Туура эмес конфигурация: Өтө уруксат берүүчү саясаттын тобокелдиктери

Cross-Origin Resource Sharing (CORS) – бир эле келип чыккан саясатты (SOP) эс алуу үчүн иштелип чыккан серепчи механизми. Заманбап веб-тиркемелер үчүн зарыл болсо да, туура эмес ишке ашыруу — сурамчынын Түпкү аталышын кайталоо же "нөлдүк" түпну ак тизмеге киргизүү - зыяндуу сайттарга жеке колдонуучу дайындарын эксфильтрациялоого жол бериши мүмкүн.

CWE-942

Таасири

Чабуулчу [S2] аялуу тиркемесинин колдонуучуларынын купуя, аныктыгы текшерилген маалыматтарды уурдай алат. Колдонуучу аялуу колдонмого кирип жатканда зыяндуу веб-сайтка кирсе, зыяндуу сайт колдонмонун API дарегине кайчылаш суроо-талаптарды жасап, [S1][S2] жоопторун окуй алат. Бул жеке маалыматтын, анын ичинде колдонуучунун профилдерин, CSRF белгилерин же [S2] купуя билдирүүлөрүн уурдоого алып келиши мүмкүн.

Негизги себеп

CORS – серверлерге [S1] ресурстарын жүктөөгө уруксат берилген булактарды (домен, схема же порт) көрсөтүүгө мүмкүндүк берген HTTP башына негизделген механизм. Абалдар адатта сервердин CORS саясаты өтө ийкемдүү же начар ишке ашырылган [S2] болгондо пайда болот:

  • Чагылган Origin Header: Кээ бир серверлер кардардын суроо-талабынан Origin башын окуп, аны Access-Control-Allow-Origin (ACAO) [S2] жооп аталышында кайталайт. Бул эффективдүү түрдө каалаган веб-сайтка [S2] ресурсуна кирүү мүмкүнчүлүгүн берет.
  • Туура эмес конфигурацияланган Wildcards: * ийилчээк белгиси кайсы гана болбосун булакка ресурска кирүүгө мүмкүндүк бергени менен, аны эсептик дайындарды талап кылган суроо-талаптар үчүн колдонууга болбойт (мисалы, кукилер же Авторизация аталыштары) [S3]. Иштеп чыгуучулар көбүнчө [S2] сурамынын негизинде ACAO башын динамикалык түрдө түзүү менен муну айланып өтүүгө аракет кылышат.
  • "Нөл" ак тизмеси: Кээ бир колдонмолор null түпнускасын ак тизмеге киргизет, ал кайра багытталган суроо-талаптар же жергиликтүү файлдар аркылуу ишке ашырылышы мүмкүн жана зыяндуу сайттарга кирүү мүмкүнчүлүгүн алуу үчүн null түпнускасын маскарад кылууга мүмкүндүк берет. [S2][S3].
  • Талдоо каталары: Origin башын текшерүүдө регекс же сап дал келүүдөгү каталар чабуулчуларга trusted-domain.com.attacker.com [S2] сыяктуу домендерди колдонууга уруксат бериши мүмкүн.

Бул CORS сайттар аралык суроо жасалмалоодон (CSRF) [S2] коргоо эмес экенин белгилей кетүү маанилүү.

Бетон оңдоолор

  • Статикалык ак тизмени колдонуңуз: Сурамдын Origin баш аты [S2]ден Access-Control-Allow-Origin башын динамикалык түрдө жаратуудан качыңыз. Анын ордуна, сурамдын келип чыгышын [S3] ишенимдүү домендердин катуу коддолгон тизмеси менен салыштырыңыз.
  • 'Nol' Origin'ден качыңыз: null уруксат берилген булактардын ак тизмеңизге [S2] эч качан кошпоңуз.
  • Эсептик дайындарды чектөө: Access-Control-Allow-Credentials: true [S3] кайчылаш келип чыгышы үчүн өтө зарыл болгондо гана орнотуңуз.
  • Туура Валидацияны колдонуңуз: Эгер сиз бир нече түпну колдошуңуз керек болсо, Origin аталышы үчүн валидация логикасы бекем жана субдомендер же окшош көрүнгөн [S2] домендери тарабынан айланып өтүүгө болбойт.

FixVibe аны кантип сынайт

FixVibe азыр муну дарбазалуу активдүү текшерүү катары камтыйт. Домен текшерилгенден кийин, active.cors синтетикалык чабуулчу келип чыгышы менен ошол эле келип чыккан API сурамдарын жөнөтөт жана CORS жооп аталыштарын карап чыгат. Анда коомдук активдердин ызы-чуусунан оолак болуу менен жалпыга ачык эмес API аяккы чекиттеринде ээн-эркин келип чыгуулар, белги коюлган CORS жана кеңири ачык CORS чагылдырылган.