Sécurité : social engineering

social engineering une vulnérabilité souvent oublié. En effet rien de plus simple que de remplir un faux formlulaire et l’envoyer vers la cible de votre formulaire avec les dégats que cela entrainent.

Pour palier à ça il y a une méthode toute simple qui consiste à ajouter un champs hidden qui contient un gui et de copier ce même gui dans la session de l’utilisateur. Dans la page cible vous testez si le gui de la session est le même que celui envoyé via le form.

si ce n’est pas le cas vous pouvez simplement rediriger vers une page par défaut de votre site.

un petit exemple:

<!--- page source --->
<cfset session.token = createuuid()>

<form action="target.cfm">
<input type="hidden" id="token" value="#session.token#">
<input type="text" id="prenom">
<input type="submit">
</form>

<!--- page cible --->
<cfif structKeyExists(form,"token") and structKeyExists(session,"token") and session.token is form.token>
<p>vous avez passé le test du token.</p>
<cfelse>
<p>il y a un problème avec votre token.</p>
</cfif>

<cfset structdelete(session,"token")>

Dans cf10 cette protection est incluse : CSRF attack.

J’espère que ce petit truc pourra vous aider dans la sécurisation de votre application.

Publicités

Publié le 20 août 2012, dans Coldfusion, informatique, sécurité, et tagué , . Bookmarquez ce permalien. Poster un commentaire.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :