FixVibe
Covered by FixVibehigh

ዝብል ቃል ንረክብ CORS ጌጋ ውቅር: ሓደጋታት ካብ መጠን ንላዕሊ ፍቑድ ፖሊሲታት

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG2 ስግረ-መበቆል ጸጋ ምክፍፋል (CORS) ንሓደ ዓይነት መበቆል ፖሊሲ (SOP) ንምዝዛም ዝተዳለወ ናይ መርበብ ሓበሬታ መካኒዝም እዩ። ንዘመናዊ መርበብ ሓበሬታ መተግበሪታት ኣድላዪ እኳ እንተኾነ፡ ዘይግቡእ ኣተገባብራ-ከም ናይቲ ሓታቲ መበቆል ርእሲ ምድጋም ወይ ነቲ ‘ባዶ’ መበቆል ጻዕዳ ዝርዝር ምግባር-ጐዳኢ መርበባት ሓበሬታ ናይ ብሕቲ ተጠቃሚ ዳታ ንኽወጹ ከኽእሎም ይኽእል።

CWE-942

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG3

ጽልዋ

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG4 ሓደ መጥቃዕቲ ዝፍጽም ሰብ ካብ ተጠቀምቲ ናይ ሓደ ተቓላዓይ መተግበሪ [S2] ስሱዕን ዝተረጋገጸን ዳታ ክሰርቕ ይኽእል። ሓደ ተጠቃሚ ናብቲ ተቓላዓይ ኣፕ እናኣተወ ናብ ሓደ ጐዳኢ መርበብ ሓበሬታ እንተበጺሑ፡ እቲ ጐዳኢ መርበብ ሓበሬታ ናብቲ ናይቲ ኣፕ API መስቀላዊ መበገሲ ሕቶታት ከቕርብን ነቶም መልስታት [S1][S2] ከንብብን ይኽእል። እዚ ድማ ናብ ስርቂ ናይ ብሕቲ ሓበሬታ ከስዕብ ይኽእል፣ እዚ ድማ ናይ ተጠቃሚ ፕሮፋይል፣ CSRF ቶከናት፣ ወይ ናይ ብሕቲ መልእኽትታት [S2] ሓዊሱ።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG5

ሱር ጠንቂ

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG6 CORS ኣብ HTTP-ርእሲ ዝተመርኮሰ ኣገባብ ኮይኑ፡ ኣገልገልቲ ኣየኖት መበቆል (ዓውዲ፡ ስኬም፡ ወይ ወደብ) ጸጋታት [S1] ክጽዕኑ ከም ዝፍቀዱ ክገልጹ የኽእሎም። ብተለምዶ ተቓላዕነት ዝፍጠሩ ናይ ሓደ ኣገልጋሊ CORS ፖሊሲ ኣዝዩ ተዓጻጻፊ ወይ ብሕማቕ ምስ ዝትግበር እዩ [S2]:

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG7

  • ዝተንጸባረቐ መበቆል ርእሲ: ገለ ኣገልገልቲ ነቲ Origin ርእሲ ካብ ናይ ዓሚል ሕቶ ኣንቢቦም ኣብቲ Access-Control-Allow-Origin (ACAO) መልሲ ርእሲ [S2] ተመሊሶም የቃልሕዎ። እዚ ብውጽኢታዊ መንገዲ ዝኾነ መርበብ ሓበሬታ ነቲ ጸጋ [S2] ክረኽቦ የኽእሎ።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG8

  • ብጌጋ ዝተዋቕሩ ዋይልድካርድታት: * ዋይልድካርድ ዝኾነ መበገሲ ናብ ሓደ ጸጋ ክበጽሕ ዘፍቅድ እኳ እንተኾነ፡ ንመረጋገጺ መንነት ንዘድልዮም ሕቶታት (ከም ኩኪስ ወይ ርእሲ ፍቓድ) [S3] ክጥቀመሉ ኣይክእልን። መብዛሕትኡ ግዜ ዲቨሎፐራት ነዚ ክሓልፍዎ ይፍትኑ ብዳይናሚክ መንገዲ ኣብ ሕቶ [S2] ዝተመርኮሰ ርእሲ ACAO ብምፍጣር።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG9

  • Whitelisting 'null': ገለ ኣፕሊኬሽናት ንመበቆል null ኣብ ጻዕዳ ዝርዝር ይዝርዝሩ፣ እዚ ድማ ብተቐይሩ ዝቐንዐ ሕቶታት ወይ ከባብያዊ ፋይላት ክብገስ ይኽእል፣ እዚ ድማ ጐዳኢ መርበባት ከም መበቆል null መበቆል ክመስሉ የኽእሎም [S2][S3].

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG10 ዝብል ቃል ንምርካብ ኣብዚ ንጠውቅ

  • Parsing Errors: ኣብ regex ወይ string matching ን Origin header ኣብ ምርግጋጽ ዝፍጠሩ ጌጋታት፡ ኣጥቃዕቲ ከም trusted-domain.com.attacker.com [S2] ዝኣመሰሉ ዶመይናት ክጥቀሙ ከኽእሎም ይኽእል።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG11 ዝብል ቃል ንምርካብ ኣብዚ ንጠውቅ CORS ኣንጻር ስግረ-ሳይት ሕቶ ምትላል (CSRF) [S2] መከላኸሊ ከምዘይኮነ ምፍላጥ ኣገዳሲ እዩ።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG12

ናይ ኮንክሪት ምትዕርራይ

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG13 ዝብል ቃል ንረክብ

  • ስታቲክ ጻዕዳ ዝርዝር ተጠቐም: ካብቲ ናይቲ ሕቶ Origin ርእሲ [S2] ርእሲ Access-Control-Allow-Origin ብዳይናሚክ ካብ ምፍጣር ኣወግድ። ኣብ ክንድኡስ፡ መበገሲ ናይቲ ሕቶ ምስቲ ብሓርድኮድ ዝተገብረ ዝርዝር ናይ እሙናት ዶመይናት [S3] ኣነጻጽሮ።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG14 ዝብል ቃል ንረክብ

  • ካብ 'ባዶ' መበቆል ኣወግድ: null ኣብ ጻዕዳ ዝርዝርካ ናይ ዝተፈቕዱ መበቆል [S2] ፈጺምካ ኣይተእትዎ።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG15 ዝብል ቃል ንምርካብ ኣብዚ ጠውቑ

  • መረጋገጺታት ምድራት: ንፍሉይ መስቀላዊ መበቆል ምትእስሳር [S3] ፍጹም ኣድላዪ እንተኾይኑ ጥራይ Access-Control-Allow-Credentials: true ኣቐምጥ።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG16

  • ግቡእ ምጽዳቕ ተጠቐም: ብዙሓት መበቆላት ክትድግፍ እንተድኣ ኣለካ፡ እቲ ናይ ምጽዳቕ ስነ-መጐት ናይ Origin ርእሲ ድልዱል ምዃኑን ብንኡሳን ዓውድታት ወይ ተመሳሳሊ ዝመስሉ ዓውድታት [S2] ክሕለፍ ከምዘይክእልን ኣረጋግጽ።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG17

FixVibe ከመይ ጌሩ ይፍትኖ

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG18 FixVibe ሕጂ ነዚ ከም ኣፍደገ ዘለዎ ንጡፍ ምፍታሽ ኣካቲትዎ ኣሎ። ድሕሪ ምርግጋጽ ዓውዲ፡ active.cors ተመሳሳሊ መበቆል ዘለዎም API ሕቶታት ምስ ስነ-ጥበባዊ መበቆል መጥቃዕቲ ይልእኽን CORS መልሲ ርእሲታት ይግምግምን። ንሱ ጸብጻባት ፍቓደኛ መበቆል ዘንጸባርቕ፣ ብናይ ዋይልድ ካርድ መረጋገጺ CORS፣ ከምኡ’ውን ሰፊሕ ክፉት CORS ኣብ ዘይህዝባዊ API መወዳእታ ነጥብታት ኣብ ርእሲኡ ድማ ድምጺ ህዝባዊ ንብረት እናወገደ።