Insecure whitelist

Lista blanca insegura

Risk: medium

Descripción

La lista blanca de la aplicación puede ser eludida ya que la URL puede utilizarse como prefijo de otro dominio. Por ejemplo, 127.0.0.1* puede ser eludido accediendo al dominio 127.0.0.1.badsite.net.

Recomendación

Cordova ofrece un potente modelo de seguridad para proporcionar a los desarrolladores las herramientas necesarias para prevenir el acceso no autorizado y las vulnerabilidades de Cross-Site Scripting (XSS).

La lista blanca de Cordova gestiona el acceso a la seguridad de la red y debe autorizar de forma explícita únicamente los recursos accesibles.

XML

<!-- Allow access to a specific domain -->
<allow-navigation href="http://example.com/*" />

Enlaces

• Apache Cordova CVE-2015-5256
• Apache Cordova CVE-2015-1835

Estándares

• OWASP_MASVS_L1:
  • MSTG_PLATFORM_2
• OWASP_MASVS_L2:
  • MSTG_PLATFORM_2
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_6_2
  • REQ_6_3
  • REQ_7_3
  • REQ_11_3
• OWASP_MASVS_v2_1:
  • MASVS_CODE_4
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
• HIPAA_CONTROLS:
  • SECURITY221
  • SECURITY212
  • SECURITY213