Insecure whitelist

Liste blanche non sécurisée

Risk: medium

Description

La liste blanche de l'application peut être contournée, car l'URL peut être utilisée comme préfixe pour un autre domaine. Par exemple, 127.0.0.1* peut être contourné en accédant au domaine 127.0.0.1.badsite.net.

Recommandation

Cordova offre un modèle de sécurité puissant pour fournir aux développeurs les outils nécessaires afin de prévenir les accès non autorisés et les vulnérabilités de type Cross-Site Scripting (XSS).

La liste blanche de Cordova gère l'accès de sécurité réseau et doit autoriser explicitement uniquement les ressources accessibles.

XML

<!-- Allow access to a specific domain -->
<allow-navigation href="http://example.com/*" />

Liens

• Apache Cordova CVE-2015-5256
• Apache Cordova CVE-2015-1835

Normes

• OWASP_MASVS_L1:
  • MSTG_PLATFORM_2
• OWASP_MASVS_L2:
  • MSTG_PLATFORM_2
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_6_2
  • REQ_6_3
  • REQ_7_3
  • REQ_11_3
• OWASP_MASVS_v2_1:
  • MASVS_CODE_4
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
• HIPAA_CONTROLS:
  • SECURITY221
  • SECURITY212
  • SECURITY213