Les Redirections et renvois non validés

Slides:



Advertisements
Présentations similaires
Créer un nouveau site internet Lions e-Clubhouse Lapplication Lions e-Clubhouse
Advertisements

Informations sur la liste de messagerie « imbe.fr »
Lexique Internet Ce lexique donne une brève définition des principaux termes utilisés sur Internet.
CORRECTION DU DEVOIR DE SYNTHESE N° 2
Une solution personnalisable et extensible
Copyright © 2007 – La fondation OWASP Ce document est disponible sour la license Creative Commons SA 2.5 Traduction Francaise © Sébastien GIORIA.
Xavier Tannier Yann Jacob Sécurite Web.
Quest-ce quun lien ?. Exemple à partir du site du ministère de léducation nationale A la page daccueil, vous y trouvez du texte et … des liens vers dautres.
La configuration Apache 2.2 Lhébergement virtuel.
Un peu de sécurité Modal Web Modal Baptiste DESPREZ
Référence directe non sécurisée à un objet
Rédaction dun article sur le site internet du CRCACK Lien administration :
Failles de sécurité INJECTION
Comment se prémunir contre les risques d'un compte Gmail ?
Julien Duteil, 24/10/2011 à Epitech Lyon Comment trouver LE bon module sous Drupal !
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Pour une meilleure visibilité sur le web Rapide incontournable et gratuit BRAGE Benoît - ANT - Aubusson Hiver 2013 adresse.
Mauvaise configuration sécurité
Quest-ce quun blog? « Un blog ou blogue (aphérèse de web log) est un site Web constitué par la réunion d'un ensemble de billets triés par ordre chronologique.
420-B63 Programmation Web Avancée Auteur : Frédéric Thériault 1.
Version 48 et futures Olfeo : Maîtriser l’utilisation d’Internet !
Configuration Android
Cours 16 LA BIBLIOGRAPHIE
Appel doffres DAFPEN
Comprendre l’environnement Web
Lycée Louis Vincent Séance 1
Identifier ce qui peut gêner ou bloquer votre référencement Sébastien Billard, consultant référencement.
(Dropbox, Hubic, SugarSync) Chosson / Delrieu / Thibaut 02/10/2013.
Les instructions PHP pour l'accès à une base de données MySql
Mauvaise configuration sécurité
Médiathèque de Sélestat - 5 février 2005 Olivier Andrieu Comment ne pas être visible sur les moteurs de recherche.
Xavier Tannier Sécurite Web.
28 novembre 2012 Grégory Petit
ASP.NET Par: Hugo St-Louis. C ARACTÉRISTIQUES A SP. NET Évolution, successeur plus flexible quASP (Active Server Pages). Pages web dynamiques permettant.
Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis.
A4.1.1 Proposition dune solution applicative A4.1.2 Conception ou adaptation de linterface utilisateur dune solution applicative A4.1.2 Conception ou.
PHP Géant Aurélien. PHP (Hypertext Preprocessor) Langage de scripts libre Permet produire des pages Web dynamiques dispose d'un très grand nombre d'API(Application.
PhP-MySQL Pagora 2012/2013 CTD 1 - Presentation de moi ^^
JSP (Java Server Pages)
Introduction à lutilisation des corpus 2. Comment constituer un corpus?
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Javascript JavaScript / Jquery Langage de script (comme PHP) Exécuté par votre navigateur (Firefox, IE,
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
LE HARCÈLEMENT SCOLAIRE
1 CSI 2532 Lab6 Application Web et DB Février 27, 2012.
Créer son propre BLOG/Site web pédagogique
S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits d’accès Utilisation des contrôles de.
Initiation au web dynamique
Créer une page web en quelques clics
FM Global TouchPoints
L’écran d’accueil A gauche, se trouve le bloc d’authentification. Vous avez reçu votre identifiant et votre mot de passe par mail. N’oubliez pas le.
Content Management System CMS. Pourquoi ? Obligation de ressaisir des contenus publiés à plusieurs endroits Pas d’outils de gestion de qualité de l’information.
eVinci-XP | Portail de services
Google Apps                         .
Internet : serveurs Web  Clients et serveurs : le navigateur  Sites Web et urls  Fichier source d’une page  Langage HTML 1.
Copyright © Yves Marcoux1 Liens hypertextuels relatifs BLT6052 Yves Marcoux.
(Dropbox, Hubic, SugarSync) Chausson / Delrieu / Thibaut.
1 Utilisation du serveur FAD de l’ENSG Instruction aux utilisateurs 29 septembre 2012.
D4 : Organiser la recherche d'informations numériques
Serveur HTTP. Responsable : Yohan VALETTE Objectifs : Créer un intranet sécurisé pour nos utilisateurs (pour la mise en commun de connaissances, par exemple).
Module : Pages Web Dynamiques (Production Électronique Avancée)
Deug 11 Systèmes d ’Information : 5a Michel de Rougemont Université Paris II Les Formulaires.
Initiation au web dynamique Licence Professionnelle.
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
Sécurité des systèmes d’information: Web Security & Honeypots
CPI/BTS 2 Programmation Web Les sites dynamiques Prog Web CPI/BTS2 – M. Dravet – 02/10/2003 Dernière modification: 02/10/2003.
{ Java Server Pages Par Billy et Mike.  Introduction  Qu’est-ce que JSP?  Pourquoi utiliser JSP?  Développement  Balises  Servlets  Conclusion.
CRÉER UN MUR VIRTUEL Pierre BINET Collège Jean Fernel CLERMONT.
Création d’un site WEB 1 – Un site WEB c’est quoi ? 2 – Questions à se poser avant la construction d’un site WEB 3 – Principes de fonctionnement d’un site.
APP-TSWD Apprentissage Par Problèmes Techniques des Sites Web Dynamiques Licence Professionnelle FNEPI Valérie Bellynck, Benjamin Brichet-Billet, Mazen.
(fait son épicerie les jeudi). Cross site Scripting est l'attaque web la plus commune.
Transcription de la présentation:

Les Redirections et renvois non validés Par: simon villiard

Introduction La redirection Utiliser couramment Important de sécuriser Se fait à l’externe Ne s’attaque pas directement à votre application web

Présentation du problème Lorsque qu’une application web effectue un changement de page en fonction d’un paramètre et accepte ces derniers sans les validés d’abord, ce qui cause la redirection de certaines requêtes vers des sites malicieux.

Environnements affectés Toutes applications web qui: Utilise la redirection Contient des utilisateurs (Inclus aussi les pertes de mots de passes)

Raisons principales Attaques par hameçonnage (phishing). Téléchargement de virus et malware.

Exemples de cas Sur un forum, un utilisateur affirme qu’il a été capable d’accéder à un nouveau jeux avant qu’il sorte sur Vapor™ alors il écrit: Aller télécharger HugoWorld™ j’ai trouver un moyen de le télécharger à l’avance: http://www.vapor.com/redirect.jsp?url=evil.com/download/hgwrld.exe Url habituel Url malicieux Quelqu’un vous envoi un e-mail comme quoi que votre compte a été hacker et que vous devez réinitialiser votre mot de passe: Votre compte n’est plus sûr. Réinitialiser votre mot de passe ici: https://accesd.desjardins.com/redirect.jsp?url=phishingsite.com

Problème Les redirections se font à partir de l’url qui a été entrer. string url = request.QueryString["url"]; Response.Redirect(url);

Bonnes pratiques Entrer l’url explicitement dans le code Response.Redirect("~/folder/Login.aspx")

Solutions et préventions Rediriger seulement vers des pages locales Éviter la redirection et le renvoi Valider l’url avant de rediriger (s’assurer que le lien est légitime) Créer un fichier de liste d’URL de confiance (Apache: « .htaccess ») Forcer les redirection à passer par une page notifiant l’utilisateur qu’il quitte votre site <IfModule mod_alias.c> #redirection automatique d’une page vers une nouvelle adresse Redirect permanent /dossier01/script_1.html http://nouvelle.adresse.fr/dossier03/script_1.php #redirection automatique d’un ensemble de pages RedirectMatch permanent /dossier01/(.*)\.html$ http://nouvelle.adresse.fr/dossier02/$1.php #redirection automatique d’un dossier vers une nouvelle adresse Redirect permanent /dossier01 http://nouvelle.adresse.fr/dossier02 #redirection automatique de toute l’application Web une nouvelle adresse Redirect permanent / http://nouvelle.adresse.fr/ </IfModule>

Conclusion Questions? Commentaires?

Bibliographie Articles: Vidéos: https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forward s_Cheat_Sheet http://coupdeklaxon.ca/wp- content/uploads/2012/12/failles_de_securite_v1-3.pdf http://coupdeklaxon.ca/wp-content/uploads/2012/12/OWASP-Top-10- 2013-French-1.pdf Vidéos: http://www.youtube.com/watch?v=kl_TMG2kiEI

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.