Insecure whitelist configuration

Configuration non sécurisée de la liste blanche

Risk: hardening

Description

La liste blanche de l'application permet un accès non restreint à toutes les ressources *.

Recommandation

Cordova offre un modèle de sécurité puissant pour fournir aux développeurs les outils nécessaires afin de prévenir les accès non autorisés et les vulnérabilités de Cross-Site Scripting.

La liste blanche de Cordova gère l'accès de sécurité réseau et ne doit autoriser explicitement que les ressources accessibles.

Pour activer la liste blanche de Cordova, suivez ces étapes :

1. Installer le plugin Cordova Whitelist : Si ce n'est pas déjà fait, vous devrez installer le plugin Cordova Whitelist. Vous pouvez le faire en exécutant la commande suivante dans le répertoire de votre projet :

cordova plugin add cordova-plugin-whitelist

1. Configurer la liste blanche : Une fois le plugin installé, vous pouvez configurer la liste blanche dans votre fichier config.xml. Vous pouvez spécifier quelles ressources externes votre application est autorisée à accéder en ajoutant les balises <allow-navigation> et <allow-intent>.

XML

<!-- Allow access to a specific domain -->
<allow-navigation href="http://example.com/*" />

<!-- Allow access to all URLs -->
<allow-navigation href="*" />

<!-- Allow opening specific URLs in the system browser -->
<allow-intent href="http://*/*" />
<allow-intent href="https://*/*" />

Liens

• Apache Cordova CVE-2015-5256
• Apache Cordova CVE-2015-1835

Normes

• OWASP_MASVS_L1:
  • MSTG_PLATFORM_1
• OWASP_MASVS_L2:
  • MSTG_PLATFORM_1
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_6_2
  • REQ_6_3
  • REQ_7_3
  • REQ_11_3
• OWASP_MASVS_v2_1:
  • MASVS_STORAGE_1
  • MASVS_RESILIENCE_2
  • MASVS_RESILIENCE_3
  • MASVS_CODE_4
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5