Insecure whitelist configuration

安全でないホワイトリストの設定

Risk: hardening

説明

アプリケーションのホワイトリストは、すべてのリソース * への無制限のアクセスを許可しています。

推奨事項

Cordova は、不正アクセスや Cross-Site Scripting の脆弱性を防ぐためのツールを開発者に提供する強力なセキュリティモデルを備えています。

Cordova のホワイトリストはネットワークセキュリティアクセスを管理するものであり、明示的にアクセス可能なリソースのみを許可する必要があります。

Cordova のホワイトリストを有効にするには、以下の手順に従います。

1. Cordova Whitelist プラグインのインストール: まだインストールしていない場合は、Cordova Whitelist プラグインをインストールする必要があります。プロジェクトディレクトリで次のコマンドを実行することでインストールできます。

cordova plugin add cordova-plugin-whitelist

1. ホワイトリストの設定: プラグインをインストールしたら、config.xml ファイルでホワイトリストを設定できます。<allow-navigation> および <allow-intent> タグを追加することで、アプリケーションがアクセスできる外部リソースを指定できます。

XML

<!-- Allow access to a specific domain -->
<allow-navigation href="http://example.com/*" />

<!-- Allow access to all URLs -->
<allow-navigation href="*" />

<!-- Allow opening specific URLs in the system browser -->
<allow-intent href="http://*/*" />
<allow-intent href="https://*/*" />

リンク

• Apache Cordova CVE-2015-5256
• Apache Cordova CVE-2015-1835

基準

• OWASP_MASVS_L1:
  • MSTG_PLATFORM_1
• OWASP_MASVS_L2:
  • MSTG_PLATFORM_1
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_6_2
  • REQ_6_3
  • REQ_7_3
  • REQ_11_3
• OWASP_MASVS_v2_1:
  • MASVS_STORAGE_1
  • MASVS_RESILIENCE_2
  • MASVS_RESILIENCE_3
  • MASVS_CODE_4
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5