CSRF demystifié et enfin réglé !

Dans le numéro 200 de LinuxMag, vous trouverez un article a la fin sur le CSRF et comment enfin régler le sujet sur l’ensemble de vos plateformes; que cela soit via l’infrastructure ou dans le code.

A force de voir lors de pentests/audit de code ce type de vulnérabilité qui ressort et qui est parfois si simple a corriger, j’ai décidé d’écrire cet article de manière pratique et agnostique.

Au sommaire :

  1. CSRF Késako ?
    1. CSRF OK, mais pourquoi cela fonctionne ?
  2. Quelles sont les solutions à notre disposition ?
    1. Les solutions dans la partie infrastructure (serveurs Web, Serveur applicatif)
      1. Sur Apache
      2. La configuration des filtres de TOMCAT
  3. Les solutions dans la partie code…
    1. Aidons Duke avec la libellule… => Java

      1. Bien sûr, avec des frameworks on arrive aussi à se protéger facilement
    2. Pour les éléPHPants, cela peut être simple, ou pas…
      1. Ciel, je n’ai pas de framework PHP!!!!
    3. Moi le perfectionniste par contre, c’est simple => Python
    4. Mettons notre code à l’abri du CSRF sur de bons rails => Ruby On Rails

 

J’espere que cet article vous sera utile, en tout cas, si cela l’est ou ne l’est pas, n’hesitez pas à me contacter, car il y en a d’autres sur d’autres sujets en préparation, et au plus vite je peux améliorer….

2 commentaires sur “CSRF demystifié et enfin réglé !

  1. Bonjour, merci pour le partage… cela m’a permis de le lire directement ce matin dès que je l’ai eu entre les mains… dommage qu’il ne soit pas indiqué sur la couverture.

    Pour moi ton article est clair 🙂 vivement les prochains

    J'aime

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s