FixVibe
Covered by FixVibehigh

CORS מיסקאָנפיגוראַטיאָן: ריסקס פון אָוווערלי פּערמיסיוו פּאַלאַסיז

קרייַז-אָריגין ריסאָרס ייַנטיילונג (CORS) איז אַ בלעטערער מעקאַניזאַם דיזיינד צו אָפּרוען די סאַמע-אָריגין פּאָליטיק (SOP). כאָטש נייטיק פֿאַר מאָדערן וועב אַפּפּס, ימפּראַפּער ימפּלאַמענטיישאַן - אַזאַ ווי עקאָוינג די אָריגין כעדער פון די ריקוועווער אָדער ווייטליסטינג די 'נול' אָריגין - קענען לאָזן בייזע זייטלעך צו עקספילטרירן פּריוואַט באַניצער דאַטן.

CWE-942

אימפאקט

אַ אַטאַקער קענען גאַנווענען שפּירעוודיק, אָטענטאַקייטאַד דאַטן פון ניצערס פון אַ שפּירעוודיק אַפּלאַקיישאַן [S2]. אויב אַ באַניצער באזוכט אַ בייזע וועבזייטל בשעת לאָגד אין די שפּירעוודיק אַפּ, די בייזע פּלאַץ קענען מאַכן קרייַז-אָריגינעל ריקוועס צו די אַפּ ס API און לייענען די רעספּאָנסעס [S1][S2]. דאָס קען פירן צו גנייווע פון ​​פּריוואַט אינפֿאָרמאַציע, אַרייַנגערעכנט באַניצער פּראָופיילז, CSRF טאָקענס אָדער פּריוואַט אַרטיקלען [S2].

וואָרצל גרונט

CORS איז אַן הטטפּ-כעדער באזירט מעקאַניזאַם וואָס אַלאַוז סערווערס צו ספּעציפיצירן וואָס אָריגינס (פעלד, סכעמע אָדער פּאָרט) זענען דערלויבט צו לאָדן רעסורסן [S1]. וואַלנעראַביליטיז טיפּיקלי אויפשטיין ווען די CORS פּאָליטיק פון אַ סערווער איז צו פלעקסאַבאַל אָדער שוואַך ימפּלאַמענאַד [S2]:

  • רעפלעקטעד אָריגין כעדער: עטלעכע סערווערס לייענען די Origin כעדער פון אַ קליענט בעטן און ווידערקאָל עס צוריק אין די Access-Control-Allow-Origin (ACAO) ענטפער כעדער [S2]. דאָס יפעקטיוולי אַלאַוז קיין וועבזייטל צו אַקסעס די מיטל [S2].
  • מיסקאָנפיגורעד ווילדקאַרדס: כאָטש די * ווילדקאַרד אַלאַוז קיין אָריגין צו אַקסעס אַ מיטל, עס קענען ניט זיין געוויינט פֿאַר ריקוועס וואָס דאַרפן קראַדענטשאַלז (ווי קיכלעך אָדער אַוטהאָריזאַטיאָן כעדערז) [S3]. דעוועלאָפּערס אָפט פּרובירן צו בייפּאַס דעם דורך דינאַמיקאַללי דזשענערייטינג די ACAO כעדער באזירט אויף די בקשה [S2].
  • ווייטליסטינג 'נול': עטלעכע אַפּלאַקיישאַנז ווייטליסט די null אָריגין, וואָס קענען זיין טריגערד דורך רידערעקטיד ריקוועס אָדער היגע טעקעס, אַלאַוינג בייזע זייטלעך צו מאַסקערייד ווי אַ null אָריגין צו באַקומען אַקסעס ZXCVFIXVIBETOKEN2ZVFXZVIXBEVIX.
  • פּאַרסינג ערראָרס: מיסטייקס אין רעגעקס אָדער שטריקל וואָס ריכטן זיך ווען וואַלאַדייטינג די Origin כעדער קענען לאָזן אַטאַקערז צו נוצן דאָומיינז ווי trusted-domain.com.attacker.com [S2].

עס איז וויכטיק צו טאָן אַז CORS איז נישט אַ שוץ קעגן קרייַז-סייט בעטן פאָרדזשערי (CSRF) [S2].

באַטאָנען פיקסיז

  • ניצן אַ סטאַטיק ווייטליסט: ויסמיידן דינאַמיש דזשענערייטינג די Access-Control-Allow-Origin כעדער פֿון די Origin כעדער [S2] פון די בעטן. אַנשטאָט, פאַרגלייַכן די אָנהייב פון די בעטן קעגן אַ שווער קאָדעד רשימה פון טראַסטיד דאָומיינז [S3].
  • ויסמיידן די 'נול' אָריגין: קיינמאָל אַרייַננעמען null אין דיין ווייטליסט פון ערלויבט אָריגינס [S2].
  • באַגרענעצן קראַדענטשאַלז: בלויז שטעלן Access-Control-Allow-Credentials: true אויב לעגאַמרע נייטיק פֿאַר די ספּעציפיש קרייַז-אָריגינעל ינטעראַקשאַן [S3].
  • ניצן געהעריק וואַלאַדיישאַן: אויב איר מוזן שטיצן קייפל אָריגינס, ענשור אַז די וואַלאַדיישאַן לאָגיק פֿאַר די Origin כעדער איז שטאַרק און קענען ניט זיין בייפּאַסיד דורך סובדאָמאַינס אָדער ענלעך-קוקן דאָומיינז [S2].

ווי FixVibe טעסץ פֿאַר עס

FixVibe איצט ינקלודז דעם ווי אַ גייטיד אַקטיוו טשעק. נאָך פעלד וועראַפאַקיישאַן, active.cors סענדז זקסקוופיקסוויבעטאָקען 2זקסקוו ריקוועס מיט אַ סינטעטיש אַטאַקער אָריגין און באריכטן CORS ענטפער כעדערז. עס ריפּאָרץ שפיגלט אַרביטראַריש אָריגינס, ווילדקאַרד קרעדענטיאַלעד CORS און ברייט-עפענען CORS אויף ניט-ציבור API ענדפּאָינץ בשעת ויסמיידן ציבור אַסעט ראַש.