[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
RE: [Dolibarr-dev] Faille CSRF
From: |
Régis Houssin |
Subject: |
RE: [Dolibarr-dev] Faille CSRF |
Date: |
Sat, 16 May 2009 09:12:13 +0200 |
merci pour la modif,
> -----Message d'origine-----
> De : address@hidden
> [mailto:address@hidden De
> la part de Laurent Destailleur
> Envoyé : samedi 16 mai 2009 09:01
> À : Discussions sur le d& #233;veloppement de Dolibarr
> Objet : Re: [Dolibarr-dev] Faille CSRF
>
> Pour la protection CSFR, je l'ai remonté un cran plus haut dans le
> fichier main.inc.php juste après la protection injection sql car en
> sécurité, cela doit toujours se faire au plus tot, de plus en cas
> d'attaque, un simple return est fait, la aussi pour respecter une règle
> de base qu'il ne faut pas exécuter le moindre code en cas d'attaque.
> J'ai de plus ajouté une constante pour permettre a certaines pages de
> désactiver le test car il faut pouvoir y accéder depuis un lien.
> Exemple: La page de login...
>
>
> > J'ai ajouté dans le main.inc :
> >
> > la vérification du REFERER afin de refuser les appels GET qui ne
> viennent
> > pas de la propre installation d'un serveur dolibarr.
> >
> > et la création et validation d'un jeton aléatoire qu'il faudra ajouter à
> > chaque requête POST afin de sécuriser les envois, il faudra ajouter
> cette
> > ligne dans le code à chaque formulaire POST :
> >
> > print '<input type="hidden" name="token"
> > value="'.$_SESSION['newtoken'].'">';
> >
> > Régis
> >
> >
> >
> > _______________________________________________
> > Dolibarr-dev mailing list
> > address@hidden
> > http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
> >
>
>
>
> _______________________________________________
> Dolibarr-dev mailing list
> address@hidden
> http://lists.nongnu.org/mailman/listinfo/dolibarr-dev