|
|
Les dangers de CSRF et XSS
Liens sponsorisés
Actualités
Voici une compilation des sources d'information sur ce sujet :
De toutes les vulnérabilités affectant les applications Web, notamment celles écrites en PHP, Cross-Site Request Forgery (CSRF) et Cross-Site Scripting (XSS) sont les plus répandues. Dans de nombreux cas, les...
Parmi les enseignement du vers Myspace, il y a le fait que les protections traditionnelles contre les CSRF (cross-site request forgeries) sont rendues inopérantes par l'utilisation d'une XSS (cross-site scripting)...
Jeremiah Grossman propose une conférence en ligne consacré aux CSRF. Il consacrera la session à démystifier les Cross-Site Request Forgery (CSRF), le Session Riding, les chevaux de Troy sur le...
Squarefree rassemble quelques conseils pour se prémunir contre les attaques web les plus classiques :
Cross-site scripting (XSS)
Cross-site request forgery (CSRF)
Other common holes
Entre celui-ci et le PHP Securit Guide, il faudrait bien une version francaise des guides de sécurité. Direction|PHP dispose d'une rubrique sécurité mensuelle dans ses colonnes.
Les CSRF sont des attaques qui s'appuient sur un utilisateur référencé sur un site Web pour faire passer des commandes. Le pirate ne connait pas le mot de passe utilisateur, mais prend la session de travail : contrairement aux XSS, les CSRF exploitent la confiance du site Web envers les utilisateurs identifiés.
Les CSRF sont plus rares, mais Chris Shiflett en signale une d'envergure : en 20 heures, samy a pu se faire référencer commer ami et 'héros' de près d'un million de personnes sur le site de myspace.
XSS (Cross Site Scripting) permet l'injection de code JavaScript dans un script PHP, en exploitant des variables utilisateurs mal protégées.
PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes :
PHP 5.2.2 et 4.4.7; MySQL 5.0.41 (communauté) et 5.0.40 (entreprise), 4.1.22, ainsi que 5.1.18-beta. Les mises à jour sont recommandées vers ces versions.
7 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Gallery, PEAR, SquirrelMail, WordPress, Xoops, ez et vBulletin
Media Gallery for Geeklog _MG_CONF Remote File In...
Site :
PEAR Installer install-as Attribute Processing Arbitrary File Overwrite Vulnerability
Site :
SquirrelMail Multiple Cross Site Scripting Vulnerabilities
Site :
WordPress Redoable Theme s Cross-Site Scripting
Site :
Xoops Resmanager Module id_reserv SQL Injection
Site :
Digirez Multiple Cross Site Scripting Vulnerabilities
Site :
vBulletin title Script Insertion Vulnerability
Site :
PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes :
PHP 5.2.2 et 4.4.7; MySQL 5.0.41 (communauté) et 5.0.40 (entreprise), 4.1.22, ainsi que 5.1.18-beta. Les mises à jour sont recommandées vers ces versions.
7 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Gallery, PEAR, SquirrelMail, WordPress, Xoops, ez et vBulletin
Media Gallery for Geeklog _MG_CONF Remote File In...
Site :
PEAR Installer install-as Attribute Processing Arbitrary File Overwrite Vulnerability
Site :
SquirrelMail Multiple Cross Site Scripting Vulnerabilities
Site :
WordPress Redoable Theme s Cross-Site Scripting
Site :
Xoops Resmanager Module id_reserv SQL Injection
Site :
Digirez Multiple Cross Site Scripting Vulnerabilities
Site :
vBulletin title Script Insertion Vulnerability
Site :
PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes :
PHP 5.2.3 et 4.4.7; MySQL 5.0.45 (communauté) et 5.0.45 (entreprise), 4.1.22, ainsi que 5.1.20-beta. Les mises à jour sont recommandées vers ces versions.
7 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Drupal, Joomla, SPIP, WordPress, phorum, phpMyAdmin et vBulletin
Drupal Project and Project Issue Tracking Modules Insecure Permissions Security Bypass Vulnerability
Site :
Joomla SimpleFAQ Component aid SQL Injection
Site :
SPIP Inc-Calcul.PHP3 Remote File Include Vulnerability
Site :
WordPress Blue Memories Theme s Cross-Site Scripting
Site :
m-phorum Index.PHP Cross-Site Scripting Vulnerability
Site :
RETIRED: phpMyAdmin Multiple Cross-Site Scripting Vulnerabilities
Site :
vBulletin V3.6.8 XSS Password Md5 Hash
Site :
Les CSRF sont plutôt difficiles à contre carrer, puisqu'elles exploitent l'identitée d'un utilisateur dûment authentifié, et que le pirate n'est même pas en contact direct avec le site.
ThinkPHP vous...
PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes :
PHP 5.2.3 et 4.4.7; MySQL 5.0.41 (communauté) et 5.0.42 (entreprise), 4.1.22, ainsi que 5.1.19-beta. Les mises à jour sont recommandées vers ces versions.
5 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Gallery, Invision Power Board, Joomla, ez et vBulletin
Particle Gallery Search.PHP Cross-Site Scripting Vulnerability
Site :
Invision Power Board editorid Parameter Client-Side Cross Site Scripting Vulnerability
Site :
Joomla Phil-A-Form Component Index.PHP SQL Injection Vulnerability
Site :
Digirez Two Cross-Site Scripting Vulnerabilities
Site :
Multiple PHP remote file inclusion vulnerabilities in the creator in vBulletin Google Yahoo Site Map (vBGSiteMap) 2.41 for vBulletin allow remote attackers to execute arbitrary PHP code via a URL in the base parameter to (1) vbgsitemap/vbgsitemap-config.p
Site :
Un chercheur en sécurité informatique, Adrian Pastor, a révélé l'existence d'une faille de sécurité dans le routeur BT Home Hub de Bristish Telecom (basé sur le SpeedTouch 7G). Cette vulnérabilité critique permettrait de désactiver le Wifi, de changer la clé WEP et même, en utilisant un backdoor, de prendre le contrôle total du routeur. Pour s'immiscer dans cette faille, il suffit d'inciter l'internaute victime à cliquer sur un lien l'amenant sur une page web qui va activer l'attaque (de type CSRF pour « Cross-Site Request Forgery »). Une fois le processus mis en route, les protections disparaissent, tranformant le routeur en porte grande ouverte. Les utilisateurs de Neufbox (et de routeurs basés sur le Speedtouch 7G) sont donc priés de cliquer avec prudence, en attendant une éventuelle réaction de la part du FAI.
PHP et MySQL ne font l'objet d'aucune alerte de sécurité dans leurs versions courantes :
PHP 5.2.3 et 4.4.7; MySQL 5.0.45 (communauté) et 5.0.46 (entreprise), 4.1.22, ainsi que 5.1.20-beta. Les mises à jour sont recommandées vers ces versions.
8 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Drupal, Gallery, Joomla, PHP Nuke, SquirrelMail, WordPress, ez et vBulletin
Drupal Multiple Cross-Site Scripting and Request Forger...
Site :
Pony Gallery Random Image for Joomla catid Remote SQL Inject...
Site :
Pony Gallery Random Image for Joomla catid Remote SQL Inject...
Site :
PHP-Nuke Search Module Cross-Site Scripting Vulnerability
Site :
SquirrelMail Compose.PHP Multiple Information Disclosure and Data Modification Vulnerabilities
Site :
WP-FeedStats Plugin for WordPress Script Insertion Vuln...
Site :
TIBCO Rendezvous RVD Daemon Unspecified Denial Of Service Vulnerability
Site :
RETIRED: vBulletin Multiple Remote File Include Vulnerabilities
Site :
XSSDetect est un addin pour Visual Studio destiné à aider l'utilisateur à éliminer les problèmes d'XSS (Cross Site Scripting).A ce sujet je vous avais d'ailleurs déjà parler de l'Anti-Cross Site Scripting Library. Vous pouvez retrouver quelques explic...
Les CSRF sont sous le microscope depuis quelques temps. Elles s'appuient sur un utilisateur avec des droits supérieurs pour lui faire exécuter des commandes à son insu. C'est une des...
Autres actualités
- XSS : Cross Site Scripting
- Prévention des CSRF avec les sessions
Les CSRF sont sous le microscope depuis quelques temps. Elles s'appuient sur un utilisateur avec des droits supérieurs pour lui faire exécuter des commandes à son insu. C'est une des...[...]
- sécurité - Les sites Web sans faille restent rares
Une étude de WhiteHat sur les vulnérabilités de la Toile révèle que deux tiers des sites analysés rendent possible l'injection de code externe, appelée « cross site scripting ».[...]
- Cross du collège Prévert : Plus de 500 participants
Plus de 500 élèves collégiens ont participé jeudi, 22 octobre, à Wintzenheim, au cross du collège Prévert sur un parcours empruntant le site du Boden. ...[...]
- CSRF : attention danger
- Bahloul dominateur
Cross-country, Championnats IDF
SOUS LES YEUX de Guy Drut, le maire de la
ville, et de Michel Jazy, sorti de sa retraite landaise, la Cristolienne Hamel dans le cross
court et Malik Bahloul (Lagardèr[...]
- Se protéger contre les CSRF en trois points
- Utiliser CSRF pour pirater un navigateur
- Cyclisme - ChM (Cross) : La sélection française
La composition de la sélection française pour les championnats du monde de cyclo-cross, qui se dérouleront les 30 et 31 janvier à Tabor (République tchèque), a été dévoilée lundi.[...]
- Essai Volkswagen Cross Golf : du cross dans la ville
Tags :[...]
- Points de base en sécurité PHP
Templora publie un article récapitulatif des points de sécurité de base en PHP. On trouve notamment : Injections SQL, XSS, CSRF, Injections de variables et validation des données.
Le dernier...[...]
- CYCLO-CROSS - Coudray, roi du Coudray - par Intensite le 06.01.2008 : 18:25
CYCLO-CROSS - Au coudray, le Chartrain Stéphane COUDRAY à conquis sa 200eme victoire ce dimanche après midi sur le circuit de cyclo cross de la commune du Coudray.[...]
- Conférence Sécurité PHP à Paris
Je donne une conférence sur la sécurité PHP le lundi 29 Janvier, à Paris.
Cette conférence se concentrera sur les aspects XSS et CSRF des applications Web : origin[...]
- VW Cross Touran
Volkswagen propose depuis hier son Cross Touran . Garde au sol légèrement rehaussée (12mm), grille de calandre chromée mate, jantes 17, bas de caisse...[...]
- Top 20 des problèmes de sécurité en PHP
J'ai passé une partie de mon temps libre la semaine dernière à travailler sur le site de NIST NVD, pour obtenir une liste des vulnérabilités d'applications PHP. Ce qui suit...[...]
|
|
|
Formation referencement
Formation au référencement par les spécialistes en référencement de Ranking Metrics : conférence le matin, atelier pratique l'après-midi.
|
|
|