[Dolibarr-dev] Faille CSRF

dolibarr-dev

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Dolibarr-dev] Faille CSRF

From:	Régis Houssin
Subject:	[Dolibarr-dev] Faille CSRF
Date:	Fri, 15 May 2009 15:11:17 +0200
User-agent:	RoundCube Webmail/0.1-rc1

J'ai ajouté dans le main.inc :

la vérification du REFERER afin de refuser les appels GET qui ne viennent
pas de la propre installation d'un serveur dolibarr.

et la création et validation d'un jeton aléatoire qu'il faudra ajouter à
chaque requête POST afin de sécuriser les envois, il faudra ajouter cette
ligne dans le code à chaque formulaire POST :

print '<input type="hidden" name="token"
value="'.$_SESSION['newtoken'].'">';

Régis

[Prev in Thread]

Current Thread

[Next in Thread]

[Dolibarr-dev] Faille CSRF, Régis Houssin <=
- Re: [Dolibarr-dev] Faille CSRF, Laurent Destailleur, 2009/05/16
  - RE: [Dolibarr-dev] Faille CSRF, Régis Houssin, 2009/05/16
    - Re: [Dolibarr-dev] Faille CSRF, Eldy, 2009/05/16
    - RE: [Dolibarr-dev] Faille CSRF, Régis Houssin, 2009/05/16

Prev by Date: [Dolibarr-dev] !! Note Importante -- Faille CSRF !!
Next by Date: [Dolibarr-dev] Faille CSRF suite...
Previous by thread: [Dolibarr-dev] !! Note Importante -- Faille CSRF !!
Next by thread: Re: [Dolibarr-dev] Faille CSRF
Index(es):
- Date
- Thread