Insecure whitelist

安全でないホワイトリスト

Risk: medium

説明

URLが別のドメインのプレフィックスとして使用される可能性があるため、アプリケーションのホワイトリストがバイパスされる可能性があります。例えば、127.0.0.1* は、ドメイン 127.0.0.1.badsite.net にアクセスすることでバイパスされる可能性があります。

推奨事項

Cordovaは、不正アクセスやクロスサイトスクリプティング（XSS）の脆弱性を防ぐためのツールを開発者に提供する強力なセキュリティモデルを提供します。

Cordovaのホワイトリストは、ネットワークセキュリティアクセスを管理し、アクセス可能なリソースのみを明示的に承認する必要があります。

XML

<!-- Allow access to a specific domain -->
<allow-navigation href="http://example.com/*" />

リンク

• Apache Cordova CVE-2015-5256
• Apache Cordova CVE-2015-1835

基準

• OWASP_MASVS_L1:
  • MSTG_PLATFORM_2
• OWASP_MASVS_L2:
  • MSTG_PLATFORM_2
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_6_2
  • REQ_6_3
  • REQ_7_3
  • REQ_11_3
• OWASP_MASVS_v2_1:
  • MASVS_CODE_4
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
• HIPAA_CONTROLS:
  • SECURITY221
  • SECURITY212
  • SECURITY213