Archives du blog

Sécurité : social engineering

social engineering une vulnérabilité souvent oublié. En effet rien de plus simple que de remplir un faux formlulaire et l’envoyer vers la cible de votre formulaire avec les dégats que cela entrainent.

Pour palier à ça il y a une méthode toute simple qui consiste à ajouter un champs hidden qui contient un gui et de copier ce même gui dans la session de l’utilisateur. Dans la page cible vous testez si le gui de la session est le même que celui envoyé via le form.

si ce n’est pas le cas vous pouvez simplement rediriger vers une page par défaut de votre site.

un petit exemple:

<!--- page source --->
<cfset session.token = createuuid()>

<form action="target.cfm">
<input type="hidden" id="token" value="#session.token#">
<input type="text" id="prenom">
<input type="submit">
</form>

<!--- page cible --->
<cfif structKeyExists(form,"token") and structKeyExists(session,"token") and session.token is form.token>
<p>vous avez passé le test du token.</p>
<cfelse>
<p>il y a un problème avec votre token.</p>
</cfif>

<cfset structdelete(session,"token")>

Dans cf10 cette protection est incluse : CSRF attack.

J’espère que ce petit truc pourra vous aider dans la sécurisation de votre application.

Publicités
%d blogueurs aiment cette page :