Les failles les plus dangereuses sur une application web: XSS, CSRF, SQL injection, CORS (épisode 3/4)

Concevoir une plateforme web ou un service en SaaS nécessite de prendre en considération la sécurité de celui-ci en profondeur. Sans cet effort, l'ensemble des données, souvent stratégiques, peut être exposées par une simple vulnérabilité.

Quatre épisodes pour comprendre les failles de sécurité les plus dangereuses d'un projet SaaS

  1. CORS
  2. XSS
  3. CSRF
  4. SQL injection

CSRF

Un projet SaaS propose souvent à ses utilisateurs de réaliser des actions sensibles: ajout de carte-bancaire, suppressions de données, commande en ligne, etc. Il est important de protéger ces fonctionnalités contre les failles CSRF.

Lorsqu'un utilisateur réalise une action sensible, il va techniquement envoyer une requête HTTP/POST pour réaliser celle-ci. Mais le serveur est-il certain que l'utilisateur voulez bien réaliser ceci ? N'a-t-il pas été usurpé ? Rien n'est pas moins compliqué.

Les attaquants identifient en amont de l'attaque les liens et requêtes à forger pour forcer les utilisateurs légitimes à réaliser des actions sensibles. Par la suite, ils envoient simplement aux utilisateurs de votre projet ces liens particuliers (par exemple par phishing) afin que vos utilisateurs les exécutent malgré eux et en toute discrétion.

Comment se protéger de la faille CSRF ?

Il est important que le serveur vérifie l'action. Celle-ci doit bien être réalisée par la personne souhaitant le faire. Lorsqu'un utilisateur doit réaliser une action sensible, il est d'usage de générer un jeton/token unique et périssable. Lorsque l'utilisateur va finaliser l'action sensible souhaitait alors le serveur doit comparer ce jeton. Si c'est ok, l'action est réalisée. Sinon l'action ne doit pas aboutir. Pour un cyber-criminel il est impossible de deviner à l'avance ce jeton. Ceci constitue donc une contre mesure efficace.

Les principaux frameworks (RubyOnRails, Symphony, etc.) utilisent par défaut ce type de protection. Les développeurs doivent faire attention à ne pas désactiver ces protections.

Retrouvez une description des autres failles de sécurité les plus dangereuses du web

Nous proposons un service de cyber-sécurité.

Contactez-nous