La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Les Redirections et renvois non validés PAR: SIMON VILLIARD.

Présentations similaires


Présentation au sujet: "Les Redirections et renvois non validés PAR: SIMON VILLIARD."— Transcription de la présentation:

1 Les Redirections et renvois non validés PAR: SIMON VILLIARD

2 Introduction La redirection Utiliser couramment Important de sécuriser Se fait à lexterne Ne sattaque pas directement à votre application web

3 Présentation du problème Lorsque quune application web effectue un changement de page en fonction dun paramètre et accepte ces derniers sans les validés dabord, ce qui cause la redirection de certaines requêtes vers des sites malicieux.

4 Environnements affectés Toutes applications web qui: Utilise la redirection Contient des utilisateurs (Inclus aussi les pertes de mots de passes)

5 Raisons principales Attaques par hameçonnage (phishing). Téléchargement de virus et malware.

6 Exemples de cas Sur un forum, un utilisateur affirme quil a été capable daccéder à un nouveau jeux avant quil sorte sur Vapor alors il écrit: Aller télécharger HugoWorld jai trouver un moyen de le télécharger à lavance: Url habituelUrl malicieux Quelquun vous envoi un comme quoi que votre compte a été hacker et que vous devez réinitialiser votre mot de passe: Votre compte nest plus sûr. Réinitialiser votre mot de passe ici: https://accesd.desjardins.com/redirect.jsp?url=phishingsite.com https://accesd.desjardins.com/redirect.jsp?url=phishingsite.com

7 Problème Les redirections se font à partir de lurl qui a été entrer. string url = request.QueryString["url"]; Response.Redirect(url);

8 Bonnes pratiques Entrer lurl explicitement dans le code Response.Redirect("~/folder/Login.aspx")

9 Solutions et préventions Rediriger seulement vers des pages locales Éviter la redirection et le renvoi Valider lurl avant de rediriger (sassurer que le lien est légitime) Créer un fichier de liste dURL de confiance (Apache: «.htaccess ») Forcer les redirection à passer par une page notifiant lutilisateur quil quitte votre site #redirection automatique dune page vers une nouvelle adresse Redirect permanent /dossier01/script_1.html #redirection automatique dun ensemble de pages RedirectMatch permanent /dossier01/(.*)\.html$ #redirection automatique dun dossier vers une nouvelle adresse Redirect permanent /dossier01 #redirection automatique de toute lapplication Web une nouvelle adresse Redirect permanent /

10 Conclusion Questions? Commentaires?

11 Bibliographie Articles: https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forward s_Cheat_Sheet https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forward s_Cheat_Sheet content/uploads/2012/12/failles_de_securite_v1-3.pdf content/uploads/2012/12/failles_de_securite_v1-3.pdf French-1.pdf French-1.pdf Vidéos:


Télécharger ppt "Les Redirections et renvois non validés PAR: SIMON VILLIARD."

Présentations similaires


Annonces Google