Insecure whitelist

不安全的白名单

Risk: medium

描述

由于 URL 可能会被用作其他域名的前缀，因此应用程序的白名单可能会被绕过。例如，通过访问域名 127.0.0.1.badsite.net，可能会绕过 127.0.0.1*。

建议

Cordova 提供了一个强大的安全模型，为开发人员提供防止未经授权的访问和跨站脚本（XSS）漏洞的工具。

Cordova 白名单管理网络安全访问，并且必须明确授权可访问的资源。

XML

<!-- Allow access to a specific domain -->
<allow-navigation href="http://example.com/*" />

链接

• Apache Cordova CVE-2015-5256
• Apache Cordova CVE-2015-1835

标准

• OWASP_MASVS_L1:
  • MSTG_PLATFORM_2
• OWASP_MASVS_L2:
  • MSTG_PLATFORM_2
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_6_2
  • REQ_6_3
  • REQ_7_3
  • REQ_11_3
• OWASP_MASVS_v2_1:
  • MASVS_CODE_4
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
• HIPAA_CONTROLS:
  • SECURITY221
  • SECURITY212
  • SECURITY213