FixVibe
Covered by FixVibehigh

CORS Qindeessituu Dogoggoraa: Balaa Imaammata Garmalee Hayyamame

jedhamuun beekama ZXCVFIXVIBESEG2 Qoodinsi Qabeenya Ka'umsa Qaxxaamuraa (CORS) mala biraawzari Imaammata Ka'umsa Tokko (SOP) laaffisuuf qophaa'eedha. Appilikeeshiniiwwan weebii ammayyaatiif barbaachisaa ta'us, hojiirra oolmaan sirrii hin taane-kan akka mata duree Ka'umsa gaafataa sagalee dhageessisuu ykn ka'umsa 'null' adii tarreessuun-saayitoonni hamaan deetaa fayyadamaa dhuunfaa akka baasan hayyamuu danda'a.

CWE-942

jedhamuun beekama ZXCVFIXVIBESEG3

Dhiibbaa

jedhamuun beekama ZXCVFIXVIBESEG4 Haleellaan tokko fayyadamtoota aplikeeshinii saaxilamoo [S2] irraa deetaa miira qabeessa, mirkanaa'e hatuu danda'a. Fayyadamaan tokko osoo appii saaxilamaadha sanatti seenee jiruu marsariitii hamaa yoo daawwate, marsariitiin hamaan sun gaaffii ka'umsa qaxxaamuraa appii sanaa API irratti dhiyeessuun deebii [S1][S2] dubbisuu danda'a. Kunis hanna odeeffannoo dhuunfaa, piroofaayilii fayyadamaa, mallattoo CSRF, ykn ergaa dhuunfaa [S2] dabalatee fiduu danda'a.

jedhamuun beekama ZXCVFIXVIBESEG5

Hundee Sababaa

jedhamuun beekama ZXCVFIXVIBESEG6 CORS mala mata duree HTTP irratti hundaa'ee kan sarvaroota ka'umsa kamtu (domeenii, iskiimii, ykn buufata) qabeenya [S1] fe'uuf hayyamame akka ifteessan hayyamuudha. Saaxileen kan uumamu yeroo imaammanni CORS sarvarii garmalee socho'u ykn haala gaarii hin taane hojiirra oole [S2]:

jedhamuun beekama ZXCVFIXVIBESEG7

  • Mata duree Ka'umsa Calaqqise: Sarvaronni tokko tokko mataduree Origin gaaffii maamilaa irraa dubbisanii mataduree deebii Access-Control-Allow-Origin (ACAO) [S2] keessatti deebi'anii sagalee dhageessisan. Kun bu'a qabeessa ta'een marsariitii kamiyyuu qabeenya [S2] akka argatu taasisa.

jedhamuun beekama ZXCVFIXVIBESEG8

  • Kaardii Balaa Dogoggoraan Qindaa'e: Kaardii bakka bu'aa * ka'umsi kamiyyuu qabeenya akka argatu kan hayyamu yoo ta'u, gaaffiiwwan mirkaneessitoota barbaadaniif (akka kukii ykn mataduree Hayyamaa) [S3] fayyadamuu hin danda'u. Developers yeroo baayyee kana bira darbuuf yaalu mataduree ACAO daayinamikiidhaan gaaffii [S2] irratti hundaa'uun maddisiisuudhaan.

jedhamuun beekama ZXCVFIXVIBESEG9

  • 'null' adii gochuu: Appilikeeshiniiwwan tokko tokko ka'umsa null adii tarreessu, kunis gaaffii qajeelfama irra deebi'amee ykn faayiloota naannootiin kaka'uu danda'a, marsariitiiwwan hamaa akka ka'umsa nulltti akka fakkeessanii mul'atan hayyama [S2][S3].

jedhamuun beekama ZXCVFIXVIBESEG10 irratti kan argamu

  • Dogoggora Parsing: Dogoggorri regex ykn walsimsiisa dhangii yeroo mataduree Origin mirkaneessitu haleellaan domeenii akka trusted-domain.com.attacker.com [S2] akka fayyadaman hayyamuu danda'a.

jedhamuun beekama ZXCVFIXVIBESEG11 CORS sobaa Gaaffii Qaxxaamuraa (CSRF) [S2] irraa eegumsa akka hin taane hubachuun barbaachisaadha.

jedhamuun beekama ZXCVFIXVIBESEG12 irratti kan argamu

Sirreeffama Konkiriitii

jedhamuun beekama ZXCVFIXVIBESEG13

  • Tarree Adii Istaatikii fayyadami: Mataduree Access-Control-Allow-Origin mataduree gaaffii Origin [S2] irraa daayinamiikiin uumuu irraa fagaadhu. Inumaayyuu, ka'umsa gaaffii tarree hardcoded domeenii amanamoo [S3] wajjin wal bira qabi.

jedhamuun beekama ZXCVFIXVIBESEG14

  • Ka'umsa 'null' irraa fagaadhu: null gonkumaa tarree adii ka'umsa hayyamame [S2] kee keessatti hin hammatin.

jedhamuun beekama ZXCVFIXVIBESEG15 irratti kan argamu

  • Mirkaneessitoota daangessuu: Yoo walqunnamtii ka'umsa qaxxaamuraa addaa [S3] tiif baay'ee barbaachisaa ta'e qofa Access-Control-Allow-Credentials: true saagi.

jedhamuun beekama ZXCVFIXVIBESEG16

  • Mirkaneessuu Sirrii Fayyadamaa: Yoo ka'umsa hedduu deeggaruun dirqama ta'e, loojiki mirkaneessuu mata duree Origin cimaa ta'uu fi domeenii xiqqaa ykn domeenii walfakkaataa [S2] bira darbuu akka hin dandeenye mirkaneessi.

jedhamuun beekama ZXCVFIXVIBESEG17

Akkamitti FixVibe itti qorata

jedhamuun beekama ZXCVFIXVIBESEG18 FixVibe amma kana akka sakatta'iinsa sochii karra qabuutti hammata. Erga domeenii mirkanaa'ee booda, active.cors gaaffiiwwan ka'umsa walfakkaataa API ka'umsa haleellaa sinteetikii waliin erga fi mataduree deebii CORS ilaala. Inni gabaasa ka'umsa fedhii ofiitiin calaqqise, mirkaneessa kaardii bakka bu'aa CORS, fi bal'inaan baname CORS qabxiiwwan xumuraa API ummataa hin taane irratti sagalee qabeenya mootummaa irraa fagaachuudhaan.