CORS မှားယွင်းသောဖွဲ့စည်းပုံ- ခွင့်ပြုလွန်ကဲသောမူဝါဒများ၏ အန္တရာယ်များ

ထိခိုက်မှု

တိုက်ခိုက်သူသည် ထိခိုက်လွယ်သော အပလီကေးရှင်း [S2] အသုံးပြုသူများထံမှ အရေးကြီးသော၊ စစ်မှန်ကြောင်းသက်သေပြထားသော ဒေတာကို ခိုးယူနိုင်သည်။ အသုံးပြုသူတစ်ဦးသည် အန္တရာယ်ရှိသောဝဘ်ဆိုက်သို့ဝင်ရောက်စဉ် အန္တရာယ်ရှိသောအက်ပ်သို့ဝင်ရောက်ပါက၊ အန္တရာယ်ရှိသောဆိုက်သည် အက်ပ်၏ API သို့ မူရင်းတောင်းဆိုမှုများကို ပြုလုပ်နိုင်ပြီး [S1][S2] သို့ တုံ့ပြန်မှုများကို ဖတ်ရှုနိုင်ပါသည်။ ၎င်းသည် အသုံးပြုသူပရိုဖိုင်များ၊ CSRF တိုကင်များ၊ သို့မဟုတ် ကိုယ်ရေးကိုယ်တာစာတိုများ [S2] အပါအဝင် ကိုယ်ရေးကိုယ်တာအချက်အလက်များကို ခိုးယူခြင်းဆီသို့ ဦးတည်သွားစေနိုင်သည်။

အကြောင်းအရင်း

CORS သည် အရင်းအမြစ်များ [S1] အရင်းအမြစ်များ (ဒိုမိန်း၊ အစီအစဥ် သို့မဟုတ် ဆိပ်ကမ်း) ကို သတ်မှတ်ရန် ဆာဗာများကို ခွင့်ပြုသည့် HTTP-ခေါင်းစီးအခြေခံ ယန္တရားတစ်ခုဖြစ်သည်။ ဆာဗာ၏ CORS မူဝါဒသည် ပြောင်းလွယ်ပြင်လွယ် သို့မဟုတ် အကောင်အထည်ဖော်မှု ညံ့ဖျင်းလွန်းသောအခါတွင် အားနည်းချက်များ မကြာခဏ ပေါ်ပေါက်တတ်သည်-

• Reflected Origin Header- အချို့သောဆာဗာများသည် ကလိုင်းယင့်တောင်းဆိုမှုမှ Origin ခေါင်းစီးကိုဖတ်ပြီး Access-Control-Allow-Origin (ACAO) တုံ့ပြန်မှုခေါင်းစီး [S2] တွင် ၎င်းကို သံယောင်လိုက်ပါသည်။ ၎င်းသည် အရင်းအမြစ် [S2] မည်သည့်ဝဘ်ဆိုဒ်ကိုမဆို ထိထိရောက်ရောက် ဝင်ရောက်ကြည့်ရှုနိုင်စေပါသည်။
• မှားယွင်းသတ်မှတ်ထားသော သင်္ကေတများ- * သင်္ကေတသည် မည်သည့်အရင်းအမြစ်ကိုမဆို ဝင်ရောက်ကြည့်ရှုရန် ခွင့်ပြုသော်လည်း အထောက်အထားများ ( cookies သို့မဟုတ် ခွင့်ပြုချက်ခေါင်းစီးများကဲ့သို့) [S3] လိုအပ်သော တောင်းဆိုချက်များအတွက် ၎င်းကို အသုံးပြု၍မရပါ။ ဆော့ဖ်ဝဲရေးသားသူများသည် [S2] တောင်းဆိုမှုအပေါ် အခြေခံ၍ ACAO ခေါင်းစီးကို အင်တိုက်အားတိုက်ထုတ်ပေးခြင်းဖြင့် ၎င်းကို ကျော်လွှားရန် ကြိုးစားလေ့ရှိသည်။
• ' null ' ကို တရားဝင် စာရင်းသွင်းခြင်း : အချို့သော အပလီကေးရှင်းများက null မူရင်းကို အဖြူအမည်စာရင်းတွင် သွင်းထားပြီး၊ ၎င်းကို ပြန်လည်ညွှန်းထားသော တောင်းဆိုမှုများ သို့မဟုတ် ဒေသဆိုင်ရာ ဖိုင်များမှ အစပျိုးနိုင်သည့် အန္တရာယ်ရှိသောဆိုက်များကို null မူရင်းအဖြစ် ZXCVFIXVIBETOKEN2ZBETOKENKCVBETOKEN2ZBETOKENKCVVIXZVIXZXCVFIXVIBETOKEN2ZBETOKEN2ZBETOKENKCVVIXZVIX

ZXCVFIXVIBESEG၁၀

• ခွဲခြမ်းစိတ်ဖြာမှုအမှားများ- Origin ခေါင်းစီးအား အတည်ပြုသည့်အခါ regex သို့မဟုတ် string နှင့်ကိုက်ညီသောအမှားများတွင် အမှားအယွင်းများ Origin ခေါင်းစီးအား တိုက်ခိုက်သူများအား trusted-domain.com.attacker.com [S2] ကဲ့သို့သောဒိုမိန်းများကိုအသုံးပြုရန်ခွင့်ပြုနိုင်သည်။

ZXCVFIXVIBESEG ၁၁ CORS သည် Cross-Site Request Forgery (CSRF) [S2] မှ အကာအကွယ်တစ်ခု မဟုတ်ကြောင်း သတိပြုရန် အရေးကြီးပါသည်။

ကွန်ကရစ်ပြင်ဆင်မှုများ

ZXCVFIXVIBESEG၁၃

• Static Whitelist ကိုသုံးပါ- တောင်းဆိုချက်၏ Origin ခေါင်းစီး [S2] မှ Access-Control-Allow-Origin ခေါင်းစီးအား ဒိုင်နမစ်ထုတ်ခြင်းကို ရှောင်ကြဉ်ပါ။ ယင်းအစား၊ တောင်းဆိုချက်၏ဇာစ်မြစ်ကို ဟာ့ဒ်ကုဒ်လုပ်ထားသော ယုံကြည်ရသော ဒိုမိန်းများ [S3] နှင့် နှိုင်းယှဉ်ပါ။

ZXCVFIXVIBESEG ၁၄

• 'null' မူရင်းကို ရှောင်ပါ- null ကို သင်၏ခွင့်ပြုထားသော မူရင်းဇစ်မြစ် [S2] တွင် မထည့်ပါနှင့်။
• အထောက်အထားများကို ကန့်သတ်ခြင်း- [S3] တိကျသော မူရင်းအပြန်အလှန် အပြန်အလှန်တုံ့ပြန်မှုအတွက် လုံးဝလိုအပ်ပါက Access-Control-Allow-Credentials: true ကိုသာ သတ်မှတ်ပါ။

ZXCVFIXVIBESEG၁၆

• မှန်ကန်သောအတည်ပြုချက်ကိုအသုံးပြုပါ- သင်သည် ရင်းမြစ်များစွာကို ပံ့ပိုးပေးရမည်ဆိုပါက၊ Origin ခေါင်းစီးအတွက် တရားဝင်အထောက်အထားယုဂ်သည် ကြံ့ခိုင်ပြီး ဒိုမိန်းခွဲများ သို့မဟုတ် အလားတူပုံစံတူဒိုမိန်းများ [S2] ကို ကျော်လွှား၍မရကြောင်း သေချာပါစေ။

FixVibe စမ်းသပ်နည်း

FixVibe တွင် ၎င်းကို တံခါးပိတ်ဖွင့်ထားသည့် စစ်ဆေးချက်အဖြစ် ယခု ပါ၀င်ပါသည်။ ဒိုမိန်းအတည်ပြုပြီးနောက်၊ active.cors သည် ပေါင်းစပ်တိုက်ခိုက်သူ၏မူရင်းဖြင့် API ၏မူရင်းတူတောင်းဆိုမှုများကိုပေးပို့ပြီး CORS တုံ့ပြန်မှုခေါင်းစီးများကို ပြန်လည်သုံးသပ်သည်။ ၎င်းသည် အများသူငှာမဟုတ်သော API အဆုံးမှတ်များကို ရှောင်ရှားနေစဉ်တွင် အများသူငှာမဟုတ်သော API အဆုံးမှတ်များပေါ်တွင် ကျယ်ပြန့်စွာဖွင့်ထားသော CORS နှင့် မတရားသောဇစ်မြစ်များကို ရောင်ပြန်ဟပ်ဖော်ပြသည်။