MS14-059.

Présentation au sujet: "MS14-059."— Transcription de la présentation:

1 MS14-059

2 Introduction MS est une mise-à-jours de sécurité qui vise a régler une faille qui permettait de faire du XSS( Cross-Site Scripting).

3 Le problème: La faille permet d’outrepasser les éléments de sécurité d’un site si un hackeur réussi à faire cliquer l’utilisateur sur un lien spécialement créer. Par contre dans tout les cas, un attaquant ne peut pas forcer l’utilisateur a cliquer sur le lien.

4 Le problème: La faille n’est possible que si le site contient des pages qui demande d’être connecter en t’en qu’utilisateur. Un hackeur pourrai injecter un lien qui utilise une action que l’utilisateur peut utiliser afin de le rediriger ailleurs. Par exemple si pour supprimer un article dans le site on doit être connecter et qu’on appelle, article/delete/1, le hackeur pourrai créer un lien sur le site qui lui appelle article/delete/123456, puisque l’utilisateur a accès à cette action, elle pourra être exécuté.

5 Les risques: L’utilisateur pourrai être rediriger sur le site du hackeur, ou encore sur une page qui ressemble a celle du site normal ou le hackeur pourra recueillir des informations.

6 Environnements affectés
Tous les environnements ci-dessous qui contiennent des pages ou des zones sécurisés. ASP.NET MVC 2, ASP.NET MVC 3, ASP.NET MVC 4, ASP.NET MVC 5 et APS.NET MVC 5.1.

7 Exemples de cas

8 Injection d’un script dans un champs de formulaire

9

10

11 Protection contre la faille
Traiter le code html avant l’envoi au navigateur Ce servir de la plutôt Mettre à jours les site MVC existant.

12 Conclusion Faites pas confiance à l’utilisateur et faites toujours vos mise à jours !