FixVibe
Covered by FixVibehigh

CORS غلط ترتیب: د ډیر اجازې پالیسي خطرونه

د کراس اوریجن سرچینې شریکول (CORS) د براوزر میکانیزم دی چې د ورته اصلي پالیسۍ (SOP) آرامولو لپاره ډیزاین شوی. پداسې حال کې چې د عصري ویب ایپسونو لپاره اړین دي، ناسم پلي کول — لکه د غوښتونکي د اصلي سرلیک غږول یا د 'نول' اصل سپین لیست کول — کولی شي ناوړه سایټونو ته اجازه ورکړي چې د شخصي کاروونکو ډیټا افشا کړي.

CWE-942

اغیزې

یو برید کوونکی کولی شي د زیان منونکي غوښتنلیک [S2] کاروونکو څخه حساس، مستند شوي معلومات غلا کړي. که یو کاروونکی د زیانمنونکي ایپ ته د ننوتلو پرمهال ناوړه ویب پاڼې ته مراجعه وکړي، ناوړه سایټ کولی شي د اپلیکیشن API ته د کراس اصلي غوښتنې وکړي او ځوابونه ولولئ [S1][S2]. دا کولی شي د شخصي معلوماتو د غلا لامل شي، پشمول د کاروونکي پروفایلونه، CSRF ټوکنونه، یا شخصي پیغامونه [S2].

اصلي لامل

CORS د HTTP سرلیک پراساس میکانیزم دی چې سرورونو ته اجازه ورکوي چې مشخص کړي چې کوم اصل (ډومین، سکیم، یا پورټ) د سرچینو [S1] بارولو اجازه لري. زیانونه عموما هغه وخت رامینځته کیږي کله چې د سرور CORS پالیسي خورا انعطاف وړ وي یا په ضعیف ډول پلي کیږي [S2]:

  • انعکاس شوي اصلي سرلیک: ځینې سرورونه د پیرودونکي غوښتنې څخه د Origin سرلیک لولي او بیرته یې په Access-Control-Allow-Origin (ACAO) ځواب سرلیک [S2] کې یوکوي. دا په مؤثره توګه هرې ویب پاڼې ته اجازه ورکوي چې سرچینې [S2] ته لاسرسی ومومي.
  • غلط ترتیب شوي وائلډ کارډونه: پداسې حال کې چې * وائلډ کارډ هرې سرچینې ته د لاسرسي اجازه ورکوي، دا د هغو غوښتنو لپاره نشي کارول کیدی چې اعتبار ته اړتیا لري (لکه کوکیز یا د اختیار سرلیکونه) [S3]. پراختیا کونکي اکثرا هڅه کوي چې د [S2] غوښتنې پراساس په متحرک ډول د ACAO سرلیک رامینځته کولو سره دا تیر کړي.
  • سپینه لیست کول 'نول': ځینې غوښتنلیکونه د null اصلیت سپین لیست کوي، کوم چې د بیرته راستنیدلو غوښتنو یا محلي فایلونو لخوا رامینځته کیدی شي، ناوړه سایټونو ته اجازه ورکوي چې د null اصل په توګه لاس رسی ترلاسه کړي. [S2][S3].
  • د تجزیه کولو تېروتنې: د Origin سرلیک تایید کولو په وخت کې د ریجیکس یا تار سره سمون کې تېروتنې کولی شي برید کونکو ته اجازه ورکړي چې ډومینونه وکاروي لکه trusted-domain.com.attacker.com [S2].

دا مهمه ده چې په یاد ولرئ چې CORS د کراس سایټ غوښتنې جعل (CSRF) [S2] پروړاندې محافظت ندی.

کانکریټ اصلاحات

  • د سټیټ سپین لیست وکاروئ: د غوښتنې Origin سرلیک [S2] څخه په متحرک ډول د Access-Control-Allow-Origin سرلیک رامینځته کولو څخه مخنیوی وکړئ. پرځای یې، د غوښتنې اصل د باوري ډومینونو د هارډ کوډ شوي لیست سره پرتله کړئ [S3].
  • د 'نول' اصل څخه ډډه وکړئ: هیڅکله null د اجازه شوي اصل [S2] په سپین لیست کې مه شاملوئ.
  • د اعتبار محدودول: یوازې Access-Control-Allow-Credentials: true تنظیم کړئ که چیرې د ځانګړي کراس اصلي متقابل عمل [S3] لپاره بالکل اړین وي.
  • مناسب تایید وکاروئ: که تاسو باید د ډیری اصلیتونو ملاتړ وکړئ، ډاډ ترلاسه کړئ چې د Origin سرلیک لپاره د اعتبار منطق قوي دی او د فرعي ډومینونو یا ورته ورته ښکاري ډومینونو [S2] لخوا نه تیریږي.

څنګه FixVibe د دې لپاره ازموینه کوي

FixVibe اوس دا د فعال فعال چیک په توګه شامل دي. د ډومین تصدیق وروسته، active.cors ورته اصلي API غوښتنې د مصنوعي برید کونکي اصل سره لیږي او د CORS ځواب سرلیکونه بیاکتنه کوي. دا په غیر عامه API پای نقطو کې په پراخه کچه خلاص CORS ، د وائلډ کارډ اعتبار لرونکي CORS منعکس شوي راپور ورکوي پداسې حال کې چې د عامه شتمنیو شور څخه مخنیوی کوي.