dolibarr-dev
[Top][All Lists]
Advanced
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

RE: [Dolibarr-dev] Faille CSRF

From: Régis Houssin
Subject: RE: [Dolibarr-dev] Faille CSRF
Date: Sat, 16 May 2009 09:23:02 +0200 
oui je vais scruter pour trouver une classe libre



> -----Message d'origine-----
> De : address@hidden
> [mailto:address@hidden De
> la part de Eldy
> Envoyé : samedi 16 mai 2009 09:14
> À : Discussions sur le d& #233;veloppement de Dolibarr
> Objet : Re: [Dolibarr-dev] Faille CSRF
> 
> Régis Houssin wrote:
> > merci pour la modif,
> >
> >
> T'es bien matinal pour un samedi (moi j'ai un excuse, je dois partir à
> un mariage à lille) :-)
> 
> Sinon, pour le mode mail multipart, il faudra trouver une librairie car
> c'est casse cul de le faire soi même. Et il faudra créer un 3eme "mode"
> afin d'etre sur de pas créer de régression. La, avec ce qu'on a fait, on
> a au moins l'équivalent d'avant avec un peu plus, même si c'est pas
> encore parfait.
> Si on tranche trop, vaut mieux créer un 3eme driver...
> >
> >> -----Message d'origine-----
> >> De : address@hidden
> >> [mailto:address@hidden
> De
> >> la part de Laurent Destailleur
> >> Envoyé : samedi 16 mai 2009 09:01
> >> À : Discussions sur le d& #233;veloppement de Dolibarr
> >> Objet : Re: [Dolibarr-dev] Faille CSRF
> >>
> >> Pour la protection CSFR, je l'ai remonté un cran plus haut dans le
> >> fichier main.inc.php juste après la protection injection sql car en
> >> sécurité, cela doit toujours se faire au plus tot, de plus en cas
> >> d'attaque, un simple return est fait, la aussi pour respecter une règle
> >> de base qu'il ne faut pas exécuter le moindre code en cas d'attaque.
> >> J'ai de plus ajouté une constante pour permettre a certaines pages de
> >> désactiver le test car il faut pouvoir y accéder depuis un lien.
> >> Exemple: La page de login...
> >>
> >>
> >>
> >>> J'ai ajouté dans le main.inc :
> >>>
> >>> la vérification du REFERER afin de refuser les appels GET qui ne
> >>>
> >> viennent
> >>
> >>> pas de la propre installation d'un serveur dolibarr.
> >>>
> >>> et la création et validation d'un jeton aléatoire qu'il faudra ajouter
> à
> >>> chaque requête POST afin de sécuriser les envois, il faudra ajouter
> >>>
> >> cette
> >>
> >>> ligne dans le code à chaque formulaire POST :
> >>>
> >>> print '<input type="hidden" name="token"
> >>> value="'.$_SESSION['newtoken'].'">';
> >>>
> >>> Régis
> >>>
> >>>
> >>>
> >>> _______________________________________________
> >>> Dolibarr-dev mailing list
> >>> address@hidden
> >>> http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
> >>>
> >>>
> >>
> >> _______________________________________________
> >> Dolibarr-dev mailing list
> >> address@hidden
> >> http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
> >>
> >
> >
> >
> >
> > _______________________________________________
> > Dolibarr-dev mailing list
> > address@hidden
> > http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
> >
> 
> 
> 
> _______________________________________________
> Dolibarr-dev mailing list
> address@hidden
> http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
reply via email to
[Prev in Thread] Current Thread [Next in Thread]