FixVibe
Covered by FixVibehigh

| CORS ଭୁଲ ବିନ୍ୟାସ: ଅତ୍ୟଧିକ ଅନୁମତି ନୀତିର ବିପଦ |

| ZXCVFIXVIBESEG2 | କ୍ରସ୍-ଅରିଜିନ୍ ରିସୋର୍ସ ସେୟାର୍ (CORS) ହେଉଛି ଏକ ବ୍ରାଉଜର୍ ମେକାନିଜିମ୍ ଯାହା ସମାନ-ଉତ୍ପତ୍ତି ନୀତି (SOP) କୁ ଆରାମ ଦେବା ପାଇଁ ପରିକଳ୍ପିତ | ଆଧୁନିକ ୱେବ୍ ଆପ୍ଲିକେସନ୍ ପାଇଁ ଆବଶ୍ୟକ ଥିବାବେଳେ, ଅନୁପଯୁକ୍ତ କାର୍ଯ୍ୟକାରିତା - ଯେପରିକି ଅନୁରୋଧକାରୀଙ୍କ ଅରିଜିନ୍ ହେଡର୍ ଇକୋ କରିବା କିମ୍ବା 'ନଲ୍' ଉତ୍ପତ୍ତିକୁ ହ୍ el ାଇଟଲିଷ୍ଟ କରିବା - ଦୁଷ୍ଟ ସାଇଟଗୁଡ଼ିକୁ ବ୍ୟକ୍ତିଗତ ଉପଭୋକ୍ତା ତଥ୍ୟକୁ ବିସ୍ତାର କରିବାକୁ ଅନୁମତି ଦେଇପାରେ |

CWE-942

| ZXCVFIXVIBESEG3 |

ପ୍ରଭାବ

| ZXCVFIXVIBESEG4 | ଜଣେ ଆକ୍ରମଣକାରୀ ଏକ ଦୁର୍ବଳ ପ୍ରୟୋଗ [S2] ର ଉପଭୋକ୍ତାମାନଙ୍କଠାରୁ ସମ୍ବେଦନଶୀଳ, ପ୍ରାମାଣିକ ତଥ୍ୟ ଚୋରି କରିପାରିବ | ଯଦି ଜଣେ ଉପଭୋକ୍ତା ଅସୁରକ୍ଷିତ ଆପରେ ଲଗ୍ ଇନ୍ କରିବା ସମୟରେ ଏକ ଦୁର୍ଦ୍ଦାନ୍ତ ୱେବସାଇଟ୍ ପରିଦର୍ଶନ କରନ୍ତି, ତେବେ ଦୁର୍ଦ୍ଦାନ୍ତ ସାଇଟ୍ ଆପର API କୁ କ୍ରସ୍-ଉତ୍ପତ୍ତି ଅନୁରୋଧ କରିପାରିବ ଏବଂ [S1][S2] କୁ ପ read ିପାରିବ | ଏହା ଉପଭୋକ୍ତା ପ୍ରୋଫାଇଲ୍, CSRF ଟୋକେନ୍, କିମ୍ବା ବ୍ୟକ୍ତିଗତ ବାର୍ତ୍ତା [S2] ଅନ୍ତର୍ଭୂକ୍ତ କରି ବ୍ୟକ୍ତିଗତ ସୂଚନା ଚୋରି କରିପାରେ |

| ZXCVFIXVIBESEG5 |

ମୂଳ କାରଣ |

| ZXCVFIXVIBESEG6 | CORS ହେଉଛି ଏକ HTTP- ହେଡର୍ ଆଧାରିତ ଯନ୍ତ୍ର ଯାହାକି ସର୍ଭରଗୁଡ଼ିକୁ କେଉଁ ଉତ୍ସ (ଡୋମେନ୍, ସ୍କିମ୍, କିମ୍ବା ପୋର୍ଟ) ଉତ୍ସ ଲୋଡ୍ କରିବାକୁ ଅନୁମତି ଦିଆଯାଇଛି ତାହା ନିର୍ଦ୍ଦିଷ୍ଟ କରିବାକୁ ଅନୁମତି ଦେଇଥାଏ [S1] | ଦୁର୍ବଳତା ସାଧାରଣତ ar ଉଠିଥାଏ ଯେତେବେଳେ ଏକ ସର୍ଭରର CORS ନୀତି ଅତ୍ୟଧିକ ନମନୀୟ କିମ୍ବା [S2]:

| ZXCVFIXVIBESEG7 | ଏହା ପ୍ରଭାବଶାଳୀ ଭାବରେ ଯେକ any ଣସି ୱେବସାଇଟ୍ [S2] ଉତ୍ସକୁ ପ୍ରବେଶ କରିବାକୁ ଅନୁମତି ଦିଏ | | ZXCVFIXVIBESEG8 | ବିକାଶକାରୀମାନେ ପ୍ରାୟତ Z [S2] ଅନୁରୋଧ ଉପରେ ଆଧାର କରି ACAO ହେଡର୍ ସୃଷ୍ଟି କରି ଏହାକୁ ବାଇପାସ୍ କରିବାକୁ ଚେଷ୍ଟା କରନ୍ତି | | ZXCVFIXVIBESEG9 | [S2][S3] | | ZXCVFIXVIBESEG10

| ZXCVFIXVIBESEG11 ଏହା ଧ୍ୟାନ ଦେବା ଜରୁରୀ ଯେ CORS କ୍ରସ୍-ସାଇଟ୍ ଅନୁରୋଧ ଜାଲିଆତି (CSRF) [S2] ଠାରୁ ସୁରକ୍ଷା ନୁହେଁ |

| ZXCVFIXVIBESEG12

କଂକ୍ରିଟ୍ ଫିକ୍ସସ୍ |

| ZXCVFIXVIBESEG13 |

  • ଏକ ଷ୍ଟାଟିକ୍ ହ୍ୱାଇଟଲିଷ୍ଟ ବ୍ୟବହାର କରନ୍ତୁ: ଅନୁରୋଧର Origin ହେଡର୍ Access-Control-Allow-Origin ହେଡର୍ ଗତିଶୀଳ ଭାବରେ ସୃଷ୍ଟି କରିବା ଠାରୁ ଦୂରେଇ ରୁହନ୍ତୁ | ଏହା ପରିବର୍ତ୍ତେ, ବିଶ୍ୱସ୍ତ ଡୋମେନ୍ [S3] ର ଏକ ହାର୍ଡକୋଡ୍ ତାଲିକା ସହିତ ଅନୁରୋଧର ଉତ୍ପତ୍ତି ତୁଳନା କରନ୍ତୁ |

| ZXCVFIXVIBESEG14

  • 'ନଲ୍' ଉତ୍ପତ୍ତିରୁ ଦୂରେଇ ରୁହନ୍ତୁ: null କୁ ଅନୁମତି ପ୍ରାପ୍ତ ଉତ୍ପତ୍ତିର ହ୍ it ାଇଟଲିଷ୍ଟରେ କେବେବି ଅନ୍ତର୍ଭୂକ୍ତ କରନ୍ତୁ ନାହିଁ

| ZXCVFIXVIBESEG15

  • ପରିଚୟପତ୍ରକୁ ସୀମିତ କରନ୍ତୁ: କେବଳ Access-Control-Allow-Credentials: true ସେଟ୍ କରନ୍ତୁ ଯଦି ନିର୍ଦ୍ଦିଷ୍ଟ କ୍ରସ୍-ଉତ୍ପତ୍ତି ପାରସ୍ପରିକ କାର୍ଯ୍ୟ [S3] ପାଇଁ ସମ୍ପୂର୍ଣ୍ଣ ଆବଶ୍ୟକ |

| ZXCVFIXVIBESEG16 | **

| ZXCVFIXVIBESEG17

ଏହା ପାଇଁ FixVibe କିପରି ପରୀକ୍ଷା କରେ |

| ZXCVFIXVIBESEG18 FixVibe ବର୍ତ୍ତମାନ ଏହାକୁ ଏକ ଗେଟେଡ୍ ଆକ୍ଟିଭ୍ ଚେକ୍ ଭାବରେ ଅନ୍ତର୍ଭୁକ୍ତ କରେ | ଡୋମେନ୍ ଯାଞ୍ଚ ପରେ, active.cors ଏକ ସିନ୍ଥେଟିକ୍ ଆକ୍ରମଣକାରୀ ଉତ୍ପତ୍ତି ସହିତ ସମାନ ଉତ୍ପତ୍ତି API ଅନୁରୋଧ ପଠାଏ ଏବଂ CORS ପ୍ରତିକ୍ରିୟା ହେଡର୍ ସମୀକ୍ଷା କରେ | ଏହା ରିପୋର୍ଟ କରେ ଯେ ସର୍ବସାଧାରଣ ସମ୍ପତ୍ତି ଶବ୍ଦକୁ ଏଡାଇବା ସମୟରେ ଅଣ-ସାର୍ବଜନୀନ API ଶେଷ ପଏଣ୍ଟରେ ୱାଇଲ୍ଡକାର୍ଡ ପରିଚୟ ପ୍ରାପ୍ତ CORS ଏବଂ ବ୍ୟାପକ ଖୋଲା CORS ପ୍ରତିଫଳିତ ହୋଇଛି |