Télécharger la présentation
1
Les Redirections et renvois non validés
Par: simon villiard
2
Introduction La redirection Utiliser couramment Important de sécuriser
Se fait à l’externe Ne s’attaque pas directement à votre application web
3
Présentation du problème
Lorsque qu’une application web effectue un changement de page en fonction d’un paramètre et accepte ces derniers sans les validés d’abord, ce qui cause la redirection de certaines requêtes vers des sites malicieux.
4
Environnements affectés
Toutes applications web qui: Utilise la redirection Contient des utilisateurs (Inclus aussi les pertes de mots de passes)
5
Raisons principales Attaques par hameçonnage (phishing).
Téléchargement de virus et malware.
6
Exemples de cas Sur un forum, un utilisateur affirme qu’il a été capable d’accéder à un nouveau jeux avant qu’il sorte sur Vapor™ alors il écrit: Aller télécharger HugoWorld™ j’ai trouver un moyen de le télécharger à l’avance: Url habituel Url malicieux Quelqu’un vous envoi un comme quoi que votre compte a été hacker et que vous devez réinitialiser votre mot de passe: Votre compte n’est plus sûr. Réinitialiser votre mot de passe ici:
7
Problème Les redirections se font à partir de l’url qui a été entrer.
string url = request.QueryString["url"]; Response.Redirect(url);
8
Bonnes pratiques Entrer l’url explicitement dans le code
Response.Redirect("~/folder/Login.aspx")
9
Solutions et préventions
Rediriger seulement vers des pages locales Éviter la redirection et le renvoi Valider l’url avant de rediriger (s’assurer que le lien est légitime) Créer un fichier de liste d’URL de confiance (Apache: « .htaccess ») Forcer les redirection à passer par une page notifiant l’utilisateur qu’il quitte votre site <IfModule mod_alias.c> #redirection automatique d’une page vers une nouvelle adresse Redirect permanent /dossier01/script_1.html #redirection automatique d’un ensemble de pages RedirectMatch permanent /dossier01/(.*)\.html$ #redirection automatique d’un dossier vers une nouvelle adresse Redirect permanent /dossier01 #redirection automatique de toute l’application Web une nouvelle adresse Redirect permanent / </IfModule>
10
Conclusion Questions? Commentaires?
11
Bibliographie Articles: Vidéos:
s_Cheat_Sheet content/uploads/2012/12/failles_de_securite_v1-3.pdf French-1.pdf Vidéos:
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.