MS14-059
Introduction MS14-059 est une mise-à-jours de sécurité qui vise a régler une faille qui permettait de faire du XSS( Cross-Site Scripting).
Le problème: La faille permet d’outrepasser les éléments de sécurité d’un site si un hackeur réussi à faire cliquer l’utilisateur sur un lien spécialement créer. Par contre dans tout les cas, un attaquant ne peut pas forcer l’utilisateur a cliquer sur le lien.
Le problème: La faille n’est possible que si le site contient des pages qui demande d’être connecter en t’en qu’utilisateur. Un hackeur pourrai injecter un lien qui utilise une action que l’utilisateur peut utiliser afin de le rediriger ailleurs. Par exemple si pour supprimer un article dans le site on doit être connecter et qu’on appelle, article/delete/1, le hackeur pourrai créer un lien sur le site qui lui appelle article/delete/123456, puisque l’utilisateur a accès à cette action, elle pourra être exécuté.
Les risques: L’utilisateur pourrai être rediriger sur le site du hackeur, ou encore sur une page qui ressemble a celle du site normal ou le hackeur pourra recueillir des informations.
Environnements affectés Tous les environnements ci-dessous qui contiennent des pages ou des zones sécurisés. ASP.NET MVC 2, ASP.NET MVC 3, ASP.NET MVC 4, ASP.NET MVC 5 et APS.NET MVC 5.1.
Exemples de cas
Injection d’un script dans un champs de formulaire
Protection contre la faille Traiter le code html avant l’envoi au navigateur Ce servir de la méthode @Html.DisplayText() plutôt que @Html.DisplayTextFor() Mettre à jours les site MVC existant.
Conclusion Faites pas confiance à l’utilisateur et faites toujours vos mise à jours !