dolibarr-dev
[Top][All Lists]
Advanced
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [Dolibarr-dev] Faille CSRF

From: Eldy
Subject: Re: [Dolibarr-dev] Faille CSRF
Date: Sat, 16 May 2009 09:13:54 +0200
User-agent: Thunderbird 2.0.0.21 (X11/20090409) 
Régis Houssin wrote:
> merci pour la modif,
>
>   
T'es bien matinal pour un samedi (moi j'ai un excuse, je dois partir à
un mariage à lille) :-)

Sinon, pour le mode mail multipart, il faudra trouver une librairie car
c'est casse cul de le faire soi même. Et il faudra créer un 3eme "mode"
afin d'etre sur de pas créer de régression. La, avec ce qu'on a fait, on
a au moins l'équivalent d'avant avec un peu plus, même si c'est pas
encore parfait.
Si on tranche trop, vaut mieux créer un 3eme driver...
>   
>> -----Message d'origine-----
>> De : address@hidden
>> [mailto:address@hidden De
>> la part de Laurent Destailleur
>> Envoyé : samedi 16 mai 2009 09:01
>> À : Discussions sur le d& #233;veloppement de Dolibarr
>> Objet : Re: [Dolibarr-dev] Faille CSRF
>>
>> Pour la protection CSFR, je l'ai remonté un cran plus haut dans le
>> fichier main.inc.php juste après la protection injection sql car en
>> sécurité, cela doit toujours se faire au plus tot, de plus en cas
>> d'attaque, un simple return est fait, la aussi pour respecter une règle
>> de base qu'il ne faut pas exécuter le moindre code en cas d'attaque.
>> J'ai de plus ajouté une constante pour permettre a certaines pages de
>> désactiver le test car il faut pouvoir y accéder depuis un lien.
>> Exemple: La page de login...
>>
>>
>>     
>>> J'ai ajouté dans le main.inc :
>>>
>>> la vérification du REFERER afin de refuser les appels GET qui ne
>>>       
>> viennent
>>     
>>> pas de la propre installation d'un serveur dolibarr.
>>>
>>> et la création et validation d'un jeton aléatoire qu'il faudra ajouter à
>>> chaque requête POST afin de sécuriser les envois, il faudra ajouter
>>>       
>> cette
>>     
>>> ligne dans le code à chaque formulaire POST :
>>>
>>> print '<input type="hidden" name="token"
>>> value="'.$_SESSION['newtoken'].'">';
>>>
>>> Régis
>>>
>>>
>>>
>>> _______________________________________________
>>> Dolibarr-dev mailing list
>>> address@hidden
>>> http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
>>>
>>>       
>>
>> _______________________________________________
>> Dolibarr-dev mailing list
>> address@hidden
>> http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
>>     
>
>
>
>
> _______________________________________________
> Dolibarr-dev mailing list
> address@hidden
> http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
>
reply via email to
[Prev in Thread] Current Thread [Next in Thread]