[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Dolibarr-dev] !! Note Importante -- Faille CSRF !!
|
From: |
Régis Houssin |
|
Subject: |
[Dolibarr-dev] !! Note Importante -- Faille CSRF !! |
|
Date: |
Fri, 15 May 2009 13:16:51 +0200 |
|
User-agent: |
RoundCube Webmail/0.1-rc1 |
Bonjour,
Je viens de lire un article sur les failles CSRF (Cross-Site Request
Forgeries) : forcer l'utilisateur à être le déclenchement d'une action,
en d'autres termes, l'action va être réalisée par le navigateur de
l'utilisateur sans s'en apercevoir.
Imaginez qu'une session Dolibarr soit ouverte sur votre navigateur et que
dans une autre fenêtre vous chargé une page html contenant cette appel à
une image :
<img
src="http://votresitedolibarr/admin/const.php?rowid=200&entity=1&action=delete";
/>
la page supprimera la constante ayant l'id 200 de votre installation
dolibarr visée si bien sur, concernant cette page, la session admin soit
ouverte. Et ceci sans s'en apercevoir, alors imaginez un code complexe avec
des boucles !!!
Voici ce que j'ai mis comme protection en exemple dans /admin/const.php
if (! empty($_SERVER['HTTP_REFERER']) && !eregi(DOL_MAIN_URL_ROOT,
$_SERVER['HTTP_REFERER']))
accessforbidden();
ceci compare la provenance de l'appel à la page et interdit l'accès si
ça ne vient pas du serveur.
Il va falloir vérifier chaque page afin de se protéger de ce genre
d'attaque.
--
Cordialement
Houssin Régis
| [Prev in Thread] |
Current Thread |
[Next in Thread] |
- [Dolibarr-dev] !! Note Importante -- Faille CSRF !!,
Régis Houssin <=