Androc Posté(e) 14 octobre 2010 Share Posté(e) 14 octobre 2010 Bonjour, ceux qui s'intéressent un peu à la sécurité savent ce qu'est une attaque CSRF. Pour les autres, il s'agit grossièrement d'une attaque qui repose sur le fait que le site que vous visitez vous fait confiance. Pour les autres, vous aurez de quoi vous occuper en allant ici : http://tinyurl.com/2eb5c2r. A priori PunBB (le moteur du forum) semble être protégé contre ce genre d'attaques par l'injection de jetons qui ne sont valides qu'un certain temps. Il y a cependant un jeton qui ne semble pas fonctionner (je ne les ai pas tous fait, mais c'est le plus facile d'accès) : celui de la déconnexion. Si vous regardez le lien lorsque vous survolez "Déconnexion", vous verrez une URL du style https://forum.frandroid.com/forum/login.php?action=out&id=xxxxx&csrf_token=xxxxxxxxxxxxxxxx A priori la valeur de csrf_token doit être valide pour votre session afin qu'une injection de code ou une invitation à cliquer sur un tel lien ne vous déconnecte pas. ID contient votre identifiant forumeur, connu de tous. Or je me suis aperçu que l'URL https://forum.frandroid.com/forum/login.php?action=out&id=979 me déconnecte sans problème. Dès lors, il devient théoriquement possible de déconnecter quelqu'un, rien qu'en connaissant son ID. Par exemple, si je veux déconnecter Jorodan (l'un des admins/modo), il me suffirait de lui faire cliquer sur ce lien : https://forum.frandroid.com/forum/login.php?action=out&id=74. Alors bon, une déconnexion c'est juste chiant et ce n'est pas bien grave mais peut être que d'autres actions "sensibles" qui semblent être protégées ne le sont pas. J'aimerais que quelqu'un me confirme qu'il peut se déconnecter sans le token de sécurité, uniquement avec son ID. Ainsi, je pourrais éventuellement rechercher plus avant si c'est la version de PunBB qui est obsolète ou si il faut que je le signale à leur équipe. D'avance, merci :) Edit : mmmm intéressant. Cela fonctionnait hier soir depuis chez moi mais aujourd'hui j'ai bien une alerte de sécurité me disant que mon token n'est pas valide. Je vais creuser un peu. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Androc Posté(e) 14 octobre 2010 Auteur Share Posté(e) 14 octobre 2010 Bon ... j'ai cherché à reproduire le problème et ça devait venir de chez moi car je n'arrive pas à contourner la protection tel que je l'avais fait. Désolé du dérangement :) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Recommended Posts
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.