Reino: Security Features

Segurança de software não é o mesmo que software de segurança. Aqui, estamos interessados em tópicos como autenticação, controle de acesso, confidencialidade, criptografia e gestão de privilégios.

Azure ARM Misconfiguration: Improper CORS Policy

Bicep
JSON

Abstract

O modelo define uma política CORS excessivamente permissiva.

Explanation

O compartilhamento de recursos de origem cruzada, comumente referido como CORS, é uma tecnologia que permite a um domínio definir uma política para que seus recursos sejam acessados por uma página da web hospedada em um domínio diferente. Historicamente, os navegadores da web restringiram seus recursos de domínio de serem acessados por scripts carregados de um domínio diferente para obedecer à mesma política de origem.
CORS fornece um método para um domínio permitir outros domínios e que eles acessem seus recursos.

Tenha cuidado ao definir uma política CORS porque uma política excessivamente permissiva configurada no nível do servidor para um domínio ou um diretório em um domínio pode expor mais conteúdo para acesso entre domínios do que o pretendido. O CORS pode permitir que um aplicativo mal-intencionado se comunique com o aplicativo vítima de forma inadequada, o que pode levar à divulgação de informações, falsificação, roubo de dados, retransmissão ou outros ataques.

A implementação do CORS pode aumentar a superfície de ataque de um aplicativo e só deve ser usada quando necessário.

Exemplo 1: O modelo de exemplo a seguir define uma política CORS excessivamente permissiva para um aplicativo Web Azure SignalR.


{
    ...
    "type": "Microsoft.SignalRService/SignalR",
    ...
    "properties": {
    ...
        "cors": {
            "allowedOrigins": ["*"]
        },
    ...
}

Exemplo 2: O modelo de exemplo a seguir define uma política CORS excessivamente permissiva para um aplicativo Web do Azure.


{
    "apiVersion": "2020-12-01",
    "type": "Microsoft.Web/sites",
    ...
    "properties": {
        ...
        "siteConfig": {
            ...
            "cors": {
                "allowedOrigins": [
                    "*"
                ]
            },
    ...
}

Exemplo 3: O modelo de exemplo a seguir define uma política CORS excessivamente permissiva para uma conta do Azure Maps.


{
    "apiVersion": "2021-12-01-preview",
    "type": "Microsoft.Maps/accounts",
    ...
    "properties":{
        "cors":{
            "allowedOrigins": ["*"]
        }
    },
    ...
}

Exemplo 4: O modelo de exemplo a seguir define uma política CORS excessivamente permissiva para uma conta do Azure Cosmos DB.


{
    "type": "Microsoft.DocumentDB/databaseAccounts",
    ...
    "properties": {
        "cors": [{
            "allowedOrigins":"*"
        }],
    ...
}

Exemplo 5: O modelo de exemplo a seguir define uma política CORS excessivamente permissiva para um serviço de blob de armazenamento do Azure.


{
"type": "Microsoft.Storage/storageAccounts/blobServices",
    ...
    "properties": {
        "cors": {
            "corsRules": [
                {
                    "allowedOrigins":["*"],
                    ...
                }
            ]
        }
    }
    ...
}

References

[1] W3C Cross-Origin Resource Sharing

[2] Enable Cross-Origin Resource Sharing

[3] Michael Schmidt HTML5 Web Security

[4] Philippe De Ryck, Lieven Desmet, Pieter Philippaerts, and Frank Piessens A Security Analysis of Next Generation Web Standards

[5] Microsoft Cross-Origin Resource Sharing (CORS) support for Azure Storage

[6] Microsoft Cosmos DB - SQL API - Configure Cross-Origin Resource Sharing (CORS)

[7] Standards Mapping - Common Weakness Enumeration CWE ID 942

[8] Standards Mapping - Common Weakness Enumeration Top 25 2024 [18] CWE ID 863

[9] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001368, CCI-001414

[10] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation

[11] Standards Mapping - NIST Special Publication 800-53 Revision 4 AC-4 Information Flow Enforcement (P1)

[12] Standards Mapping - NIST Special Publication 800-53 Revision 5 AC-4 Information Flow Enforcement

[13] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration

[14] Standards Mapping - OWASP Application Security Verification Standard 4.0 14.4.6 HTTP Security Headers Requirements (L1 L2 L3), 14.5.3 Validate HTTP Request Header Requirements (L1 L2 L3)

[15] Standards Mapping - OWASP Mobile 2014 M5 Poor Authorization and Authentication

[16] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration

[17] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration

[18] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration

[19] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.10

[20] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.8

[21] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.8

[22] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.8

[23] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.8

[24] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.8

[25] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[26] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[27] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 5.4 - Authentication and Access Control

[28] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 5.4 - Authentication and Access Control

[29] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 5.4 - Authentication and Access Control, Control Objective C.2.3 - Web Software Access Controls

[30] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II

[31] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II

[32] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II

[33] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II

[38] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II

[39] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II

[40] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II

[41] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II

[42] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II

[43] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II

[44] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II

[45] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)

desc.structural.json.azure_arm_misconfiguration_improper_cors_policy