FixVibe
Covered by FixVibehigh

nisqa CORS Pantasqa wakichiy: Riesgokuna Llumpay Permisiva Kamachiykunamanta

nisqa ZXCVFIXVIBESEG2 nisqa Cross-Origin Resource Sharing (CORS) huk maskaq mecanismo ruwasqa Kikin-Origen Kamachiy (SOP) samachinapaq. Kunan web ruwanakunapaq necesario kaqtinpas, mana allin ruway —ahinataq mañakuqpa Origin umalliqnin eco ruway utaq ‘null’ origin kaqmanta yuraq lista ruway— mana allin sitiokuna sapalla ruwaqpa willayta exfiltrar ruwayta atin.

CWE-942

nisqa ZXCVFIXVIBESEG3 nisqa

Impacto

nisqa ZXCVFIXVIBESEG4 nisqa Huk atacador huk mana allin ruwana [S2] kaqmanta llamk'aqkunamanta sensibles, chiqaqchasqa willayta suwayta atin. Sichus huk llamk'achiq huk mana allin web kitita watukun chaymanta chay mana allin ruwanaman yaykusqa, mana allin sitioqa ruwanapa API kaqman chakana-origin mañakuykunata ruwayta atin chaymanta kutichiykunata [S1][S2] kaqman ñawiriyta atin. Kayqa sapalla willayta suwakuyman apayta atin, chaymanta ruwaqpa perfilesnin, CSRF tokenkuna utaq sapalla willakuykunata [S2].

nisqa ZXCVFIXVIBESEG5 nisqa

Saphi Kausa

nisqa ZXCVFIXVIBESEG6 nisqa CORS huk HTTP-umapi sayasqa ruwaymi, sirwiqkunata mayqin qallariykunata (dominio, esquema utaq puerto) [S1] yanapakuykunata karganankupaq saqisqa kaqta willayta saqin. Mana allin ruwaykuna sapa kuti rikhurinku mayk'aq huk sirwiqpa CORS kamachiynin ancha flexible utaq mana allin ruwasqa [S2]:

nisqa ZXCVFIXVIBESEG7 nisqa

  • Qhawasqa Origen Uma: Wakin sirwiqkuna Origin umalliqta huk cliente mañakuymanta ñawirinku chaymanta kutichispa Access-Control-Allow-Origin (ACAO) kutichiy umalliq [S2] kaqpi eco. Kayqa allinta mayqin web kitimanpas [S2] yanapakuyman yaykuyta saqin.

nisqa ZXCVFIXVIBESEG8 nisqa

  • Mana allin ruwasqa comodín: * comodín mayqin origintapas huk yanapakuyman yaykuyta saqiptinpas, mana mañakuykunapaq llamk'achiy atikunmanchu mayqinkunachus credencialkuna mañanku (cookiekuna utaq Autorización umalliqkuna hina) [S3]. Ruwaqkuna sapa kuti kayta muyuriyta munanku ACAO umalliqta dinamicamente ruwaspa mañakuypi [S2].

nisqa ZXCVFIXVIBESEG9 nisqa9

  • Yuraqchay 'null': Wakin ruwanakuna null paqariymanta yuraq lista kaqpi, mayqinchus wakmanta ñanman kutichiy mañakuykunawan utaq kiti willañiqikunawan llamk'achiy atikun, mana allin kitikuna null paqariy hina mascarakuyta saqispa [S2][S3].

nisqa ZXCVFIXVIBESEG10 nisqa

  • Parsing pantaykuna: pantaykuna regex utaq watiqa tupachiypi Origin umalliqta chiqaqchachkaspa, atacadores trusted-domain.com.attacker.com [S2] hina dominiokuna llamk'achiyta atin.

nisqa ZXCVFIXVIBESEG11 nisqa Importantemi kayta yachanapaq CORS mana huk hark'aychu Cross-Site Request Forgery (CSRF) [S2] kaqmanta.

nisqa ZXCVFIXVIBESEG12 nisqa

Hormigón nisqamanta allichakuykuna

nisqa ZXCVFIXVIBESEG13 nisqa

  • Huk Yuraq Lista Estática kaqwan llamk'achiy: Ama Access-Control-Allow-Origin umalliqta mañakuypa Origin umalliq [S2] kaqmanta dinamicamente ruwaychu. Aswanpas, mañakuypa paqariyninta tupachiy huk sinchi codificasqa lista atisqa dominiokuna [S3] kaqwan.

nisqa ZXCVFIXVIBESEG14 nisqa

  • Karunchakuy 'nulo' Origen kaqmanta: Ama hayk'aqpas null yuraq listaykipi churaychu saqisqa originkunamanta [S2].

nisqa ZXCVFIXVIBESEG15 nisqa

  • Credenciales hark'ay: Access-Control-Allow-Credentials: true kaqllata churay sichus chiqamanta necesario kanman chay específica cruzada-origen interacción [S3] kaqpaq.

nisqa ZXCVFIXVIBESEG16 nisqa

  • Allin Chiqaqchayta llamk'achiy: Sichus achka paqariykunata yanapanayki tiyan, chiqaqchay lógica Origin umalliqpaq sinchi kaqta qhaway chaymanta mana subdominios utaq rikch'aq rikch'aq dominiokuna [S2] kaqwan pasayta atikunmanchu.

nisqa ZXCVFIXVIBESEG17 nisqa

Imaynatataq FixVibe chaypaq pruebakun

nisqa ZXCVFIXVIBESEG18 nisqa FixVibe kunan kayta huk gated activo qhaway hina churan. Domain chiqaqchaymanta, active.cors kikin-originario API mañakuykunata huk sintético atacador originwan kachan chaymanta CORS kutichiy umalliqkunata qhawan. Willakuykuna arbitrario origenkuna rikuchisqa, comodín credencial CORS, chaymanta hatun kichasqa CORS mana llaqtapaq API tukukuykunapi rikuchisqa chaymanta mana llaqta kaqniyuq qapariy.