FixVibe
Covered by FixVibehigh

CORS Nädogry konfigurasiýa: Artykmaç rugsat beriji syýasatlaryň töwekgelçilikleri

Çeşmeleriň çeşmesini paýlaşmak (CORS), şol bir gelip çykyş syýasatyny (SOP) gowşatmak üçin döredilen brauzer mehanizmidir. Döwrebap web programmalary üçin zerur bolsa-da, haýyş edijiniň gelip çykyş sözbaşysyny gaýtalamak ýa-da “null” gelip çykyşyny aklamak ýaly nädogry durmuşa geçirmek, zyýanly saýtlaryň şahsy ulanyjy maglumatlaryny ýaýratmagyna ýol açyp biler.

CWE-942

Täsir

Hüjümçi [S2] goragly ulanyjylardan duýgur, tassyklanan maglumatlary ogurlap biler. Ulanyjy gowşak programma gireninde zyýanly web sahypasyna girse, zyýanly sahypa programmanyň API-den biri-birine ýüz tutup biler we [S1][S2] jogaplaryny okap biler. Bu, ulanyjy profillerini, CSRF belliklerini ýa-da [S2] şahsy habarlary goşmak bilen şahsy maglumatlaryň ogurlanmagyna sebäp bolup biler.

Kök sebäp

CORS serwerlere [S1] çeşmelerini ýüklemäge haýsy gelip çykyşyň (domen, shema ýa-da port) rugsat berilýändigini kesgitlemäge mümkinçilik berýän HTTP sözbaşyly mehanizmdir. Gowşaklyklar, adatça serweriň CORS syýasaty gaty çeýe ýa-da [S2] pes ýerine ýetirilende ýüze çykýar:

  • Görkezilen gelip çykyş sözbaşy: Käbir serwerler müşderiniň haýyşyndan Origin sözbaşysyny okaýarlar we Access-Control-Allow-Origin (ACAO) jogap sözbaşysynda [S2] Bu, islendik web sahypasyna [S2] çeşmesine girmäge netijeli mümkinçilik berýär.

Işläp düzüjiler köplenç [S2] haýyşy esasynda ACAO sözbaşysyny dinamiki döredip, bu ýerden geçmäge synanyşýarlar. [S2][S3]. **

CORS sahypanyň talaplaryny galplaşdyrmakdan (CSRF) [S2] gorag däldigini bellemelidiris.

Beton düzedişler

** Munuň ýerine haýyşyň gelip çykyşyny [S3] ygtybarly domenleriň gaty kodlanan sanawy bilen deňeşdiriň.

  • 'null' gelip çykyşyndan gaça duruň: Hiç haçan null rugsat berlen çeşmeleriň sanawyna [S2] goşmaň.
  • Şahadatnamalary çäklendiriň: Diňe Access-Control-Allow-Credentials: true belläň, [S3].

**

FixVibe munuň üçin nädip synag edýär

FixVibe indi muny derwezeli işjeň barlag hökmünde öz içine alýar. Domen barlagyndan soň, active.cors sintetik hüjümçiniň gelip çykyşy bilen birmeňzeş API haýyşlaryny iberýär we CORS jogap sözbaşylaryny gözden geçirýär. Hasabatda köpçülige açyk bolmadyk CORS we açyk açyk CORS esassyz gelip çykyşlary, aç-açan API nokatlary görkezilýär.