Insecure whitelist configuration

Configuración insegura de la lista blanca

Risk: hardening

Descripción

La lista blanca de la aplicación permite el acceso sin restricciones a todos los recursos *.

Recomendación

Cordova ofrece un potente modelo de seguridad para proporcionar a los desarrolladores las herramientas necesarias para prevenir accesos no autorizados y vulnerabilidades de Cross-Site Scripting.

La lista blanca de Cordova gestiona el acceso de seguridad de la red y debe autorizar explícitamente solo los recursos accesibles.

Para habilitar la lista blanca de Cordova, siga estos pasos:

1. Instale el complemento Cordova Whitelist: Si aún no lo ha hecho, deberá instalar el complemento Cordova Whitelist. Puede hacerlo ejecutando el siguiente comando en el directorio de su proyecto:

cordova plugin add cordova-plugin-whitelist

1. Configure la lista blanca: Una vez que el complemento esté instalado, puede configurar la lista blanca en su archivo config.xml. Puede especificar a qué recursos externos se le permite acceder a su aplicación agregando las etiquetas <allow-navigation> y <allow-intent>.

XML

<!-- Allow access to a specific domain -->
<allow-navigation href="http://example.com/*" />

<!-- Allow access to all URLs -->
<allow-navigation href="*" />

<!-- Allow opening specific URLs in the system browser -->
<allow-intent href="http://*/*" />
<allow-intent href="https://*/*" />

Enlaces

• Apache Cordova CVE-2015-5256
• Apache Cordova CVE-2015-1835

Estándares

• OWASP_MASVS_L1:
  • MSTG_PLATFORM_1
• OWASP_MASVS_L2:
  • MSTG_PLATFORM_1
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_6_2
  • REQ_6_3
  • REQ_7_3
  • REQ_11_3
• OWASP_MASVS_v2_1:
  • MASVS_STORAGE_1
  • MASVS_RESILIENCE_2
  • MASVS_RESILIENCE_3
  • MASVS_CODE_4
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5