Re: [Dolibarr-dev] Faille CSRF

[Laurent Destailleur]

Pour la protection CSFR, je l'ai remonté un cran plus haut dans le
fichier main.inc.php juste après la protection injection sql car en
sécurité, cela doit toujours se faire au plus tot, de plus en cas
d'attaque, un simple return est fait, la aussi pour respecter une règle
de base qu'il ne faut pas exécuter le moindre code en cas d'attaque.
J'ai de plus ajouté une constante pour permettre a certaines pages de
désactiver le test car il faut pouvoir y accéder depuis un lien.
Exemple: La page de login...


> J'ai ajouté dans le main.inc :
>
> la vérification du REFERER afin de refuser les appels GET qui ne viennent
> pas de la propre installation d'un serveur dolibarr.
>
> et la création et validation d'un jeton aléatoire qu'il faudra ajouter à
> chaque requête POST afin de sécuriser les envois, il faudra ajouter cette
> ligne dans le code à chaque formulaire POST :
>
> print '<input type="hidden" name="token"
> value="'.$_SESSION['newtoken'].'">';
>
> Régis
>
>
>
> _______________________________________________
> Dolibarr-dev mailing list
> address@hidden
> http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
>