MS14-059.

Slides:



Advertisements
Présentations similaires
(fait son épicerie les jeudi). Cross site Scripting est l'attaque web la plus commune.
Advertisements

Réalisation professionnelle : Nouvelle version du site de la Maison du Citoyen et de la Vie Associative Réalisation professionnelle : Nouvelle version.
QuickPlace de LOTUS Logiciel générateur de SITE WEB : Installé sur un serveur (grenet), Permet de créer / gérer / utiliser un site privé, De donner des.
Institut canadien d’information sur la santé Aperçu du Juillet Nouveau Centre d’apprentissage de l’ICIS.
Le teaser n’apparaît pas en mode public, c’est la vidéo intégrale qui se lance. En mode public c’est le teaser qui doit se lancer Mode tout public En mode.
Initiation à QuickPlace, janvier Initiation à QuickPlace n Nature de l'outil n Fonctions de base (lecture, création) n Fonctions de gestionnaire.
A9 - Utilisation de composants avec des vulnérabilités connues.
ARCHITECTURE MULTITENANT CONTAINER DATABASE ET PLUGGABLE DATABASES Pr. A. MESRAR
Découvrir FranceConnect
J’accède au compte ameli assuré
Les commandes externes
Cross-Plateform Cours JavaScript
Découvrir FranceConnect
E-Prelude.com Importation de nomenclatures issues de divers logiciels de CAO… … via un fichier « neutre » de type EXCEL.
Service Communication CM le 18/05/2011
Formation Portail IDE 2014.
Programmation avec Scratch
AMUE – SIFAC Les concepts de SIFAC WEB HISTORIQUE DES MISES A JOUR
Réalisation d'agents de surveillance Zephir
ATTENTION À VOS COURRIELS
HISTORIQUE DES MISES A JOUR
fonctionnalités iiS iis
La recherche documentaire
DREAMWEAVER Partie 2.
Formation sur la SACD à l’intention des EPR -- Participants avec expérience 29 août 2017.
Magasins de sports de glisse
Création du compte ANTS
1ers pas des utilisateurs migrés
MYOLOGIE CLINIQUE PF01 Mettre à jour votre n° de poster
Calculer l’accélération
Guide n°1 Formation initiale
3- Nouvelles pages d’accueil
Guide n° 3 Formation initiale
Guide Utilisateur. Guide Utilisateur.
Introduction à Internet
G.ELGHOUMARI Université ParisII Panthéon-Assas
PHP AVANCE : APPLICATION A LA SECURITE Objectif général: Objectif spécifiques : 1- 1.
Entreprises autorisées
UE4.6 S4 : SOINS EDUCATIFS ET PREVENTIFS
DIALYSE PD01 TITRE DE VOTRE POSTER → MAJUSCULE, Arial 14, code couleur RVB 0/0/0 (noire) AUTEURS → MAJUSCULE, Arial 10, code couleur RVB 0/0/0 (noire)
DIALYSE PD01 TITRE DE VOTRE POSTER → MAJUSCULE, Arial 60, code couleur RVB 0/0/0 (noire) AUTEURS → MAJUSCULE, Arial 40, code couleur RVB 0/0/0 (noire)
Création d’un « Web Worm » Exploitation automatisée de failles web Simon Marechal Consultant SSI
Bonnes pratiques d’exploitation des applications
Découvrir FranceConnect
Découvrir FranceConnect
Découvrir FranceConnect
Découvrir FranceConnect
Support pour enseignant
G.ELGHOUMARI Université ParisII Panthéon-Assas
Guide n° 1 Formation initiale
Comment utiliser l’application ?
DEVELOPPER LE PANIER MOYEN
Windows 7 NTFS.
Toutes les infos sont sur le site des bibliothèques.
Une activation intuitive et sécurisée
Présenté par Viviane Lévesque
Mode opératoire Création comptes pour centres agréés
STSWEB Remise en cohérence
03/05/2019 L’organisation et la gestion des fichiers sur le site collaboratif Martine Cochet 2SitePleiadeGestionFichiers.
Découvrir FranceConnect
Classement des antivirus Gratuit ou payant ? Conclusion
Découvrir FranceConnect
Découvrir FranceConnect
Découvrir FranceConnect
STS Web Services libres Gérer les services libres
Découvrir FranceConnect
Découvrir FranceConnect
STS Web Services libres Supprimer des services libres
Branches de club sur MyLCI
Transcription de la présentation:

MS14-059

Introduction MS14-059 est une mise-à-jours de sécurité qui vise a régler une faille qui permettait de faire du XSS( Cross-Site Scripting).

Le problème: La faille permet d’outrepasser les éléments de sécurité d’un site si un hackeur réussi à faire cliquer l’utilisateur sur un lien spécialement créer. Par contre dans tout les cas, un attaquant ne peut pas forcer l’utilisateur a cliquer sur le lien.

Le problème: La faille n’est possible que si le site contient des pages qui demande d’être connecter en t’en qu’utilisateur. Un hackeur pourrai injecter un lien qui utilise une action que l’utilisateur peut utiliser afin de le rediriger ailleurs. Par exemple si pour supprimer un article dans le site on doit être connecter et qu’on appelle, article/delete/1, le hackeur pourrai créer un lien sur le site qui lui appelle article/delete/123456, puisque l’utilisateur a accès à cette action, elle pourra être exécuté.

Les risques: L’utilisateur pourrai être rediriger sur le site du hackeur, ou encore sur une page qui ressemble a celle du site normal ou le hackeur pourra recueillir des informations.

Environnements affectés Tous les environnements ci-dessous qui contiennent des pages ou des zones sécurisés. ASP.NET MVC 2, ASP.NET MVC 3, ASP.NET MVC 4, ASP.NET MVC 5 et APS.NET MVC 5.1.

Exemples de cas

Injection d’un script dans un champs de formulaire

Protection contre la faille Traiter le code html avant l’envoi au navigateur Ce servir de la méthode @Html.DisplayText() plutôt que @Html.DisplayTextFor() Mettre à jours les site MVC existant.

Conclusion Faites pas confiance à l’utilisateur et faites toujours vos mise à jours !