FixVibe
Covered by FixVibehigh

CORS Iṣeto ni aiṣedeede: Awọn eewu ti Awọn Ilana Igbanilaaye Aṣeju

Pipin orisun orisun agbelebu-Oti (CORS) jẹ ẹrọ aṣawakiri ti a ṣe apẹrẹ lati sinmi Ilana-Origin (SOP). Lakoko ti o ṣe pataki fun awọn ohun elo wẹẹbu ode oni, imuse aibojumu—gẹgẹbi fifikọ akọsori Oti olubẹwẹ tabi kikojọ funfun ti ipilẹṣẹ 'asan' le gba awọn aaye irira laaye lati mu data olumulo ikọkọ ga.

CWE-942

Ipa

Olukọni le ji awọn alaye ifarabalẹ, data ti o jẹri lati ọdọ awọn olumulo ti ohun elo ti o ni ipalara [S2]. Ti olumulo kan ba ṣabẹwo si oju opo wẹẹbu irira lakoko ti o wọle sinu ohun elo ti o ni ipalara, aaye irira le ṣe awọn ibeere orisun-agbelebu si API app naa ki o ka awọn idahun [S1][S2]. Eyi le ja si jija alaye ikọkọ, pẹlu awọn profaili olumulo, awọn ami CSRF, tabi awọn ifiranṣẹ aladani [S2].

Gbongbo Idi

CORS jẹ ẹrọ orisun HTTP-akọsori ti o fun laaye awọn olupin laaye lati ṣalaye iru awọn ipilẹṣẹ (ašẹ, ero, tabi ibudo) ti gba laaye lati gbe awọn orisun [S1]. Awọn ailagbara maa nwaye nigba ti eto imulo CORS olupin kan rọ ju tabi imuse ti ko dara [S2]:

  • Akọsori Oti ti a ṣe afihan: Diẹ ninu awọn olupin ka akọsori Origin lati ibeere alabara kan ki o tun pada si Access-Control-Allow-Origin (ACAO) akọsori esi [S2]. Eyi ni imunadoko ngbanilaaye oju opo wẹẹbu eyikeyi lati wọle si orisun [S2].
  • Awọn kaadi Wild ti ko ni atunto: Lakoko ti kaadi egan * ngbanilaaye ipilẹṣẹ eyikeyi lati wọle si orisun kan, ko le ṣee lo fun awọn ibeere ti o nilo awọn iwe-ẹri (bii awọn kuki tabi awọn akọle aṣẹ) [S3]. Awọn olupilẹṣẹ nigbagbogbo ngbiyanju lati fori eyi nipa ṣiṣe ipilẹṣẹ akọsori ACAO da lori ibeere [S2].
  • Atokọ funfun 'asan': Diẹ ninu awọn ohun elo ṣe akojọ orisun null, eyiti o le fa nipasẹ awọn ibeere ti a darí tabi awọn faili agbegbe, ngbanilaaye awọn aaye irira lati ṣe ararẹ bi orisun null lati ni iraye si. [S2][S3].
  • Awọn aṣiṣe Aṣiṣe: Awọn aṣiṣe ni regex tabi ibaramu okun nigbati o ba fọwọsi akọsori Origin le gba awọn ikọlu laaye lati lo awọn ibugbe bii trusted-domain.com.attacker.com [S2].

O ṣe pataki lati ṣe akiyesi pe CORS kii ṣe aabo lodi si Ibeere Ibeere Agbekọja (CSRF) [S2].

Awọn atunṣe Nja

  • Lo a Aimi Whitelist: Yago fun ni agbara ti o npese Access-Control-Allow-Origin akọsori lati ibeere Origin akọsori [S2]. Dipo, ṣe afiwe ipilẹṣẹ ibeere naa lodi si atokọ lile ti awọn ibugbe igbẹkẹle [S3].
  • Yago fun Oti 'asan': Maṣe fi null sinu akojọ funfun rẹ ti awọn orisun idasilẹ [S2].
  • Awọn iwe-ẹri ihamọ: Ṣeto nikan Access-Control-Allow-Credentials: true ti o ba jẹ dandan fun ibaraenisepo orisun-agbelebu [S3].
  • Lo Ifọwọsi Ti o tọ: * Ti o ba gbọdọ ṣe atilẹyin ọpọlọpọ awọn ipilẹṣẹ, rii daju pe ọgbọn afọwọsi fun akọsori Origin logan ati pe ko le ṣe nipasẹ awọn subdomains tabi awọn ibugbe ti o jọra [S2].

Bawo ni FixVibe ṣe idanwo fun rẹ

FixVibe bayi pẹlu eyi bi ayẹwo lọwọ gated. Lẹhin ijẹrisi ašẹ, active.cors firanṣẹ awọn ibeere API orisun kanna pẹlu ipilẹṣẹ ikọlu sintetiki ati awọn atunwo awọn akọle idahun CORS. O ṣe ijabọ afihan awọn ipilẹṣẹ lainidii, iwe eri CORS, ati ṣiṣi jakejado CORS lori awọn aaye ipari API ti gbogbo eniyan lakoko yago fun ariwo dukia gbangba.