-
-
Notifications
You must be signed in to change notification settings - Fork 777
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
[Sécurité] Vulnérabilité de type CSRF pour changer le password #554
Comments
Je pense que le problème est présent pour toutes les actions, pas seulement pour changer le mot de passe. |
#554 Also edited the error controler to use the log message passed in Minz_Error::error().
Je viens d'ajouter le contrôle du domaine dans l'entête HTTP Si vous en avez la possibilité, merci de vérifier que cela bloque bien votre faille de sécurité initiale (j'ai bien sûr testé de mon côté). Voilà une capture d'écran qui s'affichera sur l'écran de l'attaqué dans certains cas : Il faudra rester attentif à ce que cela ne casse pas certaines configurations ésotériques. |
@marienfressinaud As-tu en tête des actions importantes qui ne sont pas en POST ? |
Très bien, surtout que c'est une recommandation faite par OWASP |
Quelqu'un sait-il si des navigateurs implémentent l'entête |
@PaulSec > merci Paul ! :) @Alkarex > à priori on a fait attention à ce que toutes les actions importantes passent par des POST… niveau configuration / paramétrage en tout cas. Maintenant il reste les actions comme "marquer comme lu" et "favoris". Si un |
Now tests also for the scheme and port, which must be identical to the ones in the referer. #565 (comment) #554
If needed, we may re-introduce the check for scheme with proper support for proxy #565 (comment)
Hello,
Il semblerait que FreshRSS soit vulnérable à une attaque de type CSRF (Cross Site Request Forgery).
En effet, il est possible de créer un formulaire du type:
Et de l'auto-soumettre à l'aide de JavaScript.
L'attaque se base sur le fait que l'utilisateur est connectée sur FreshRSS & navigue sur le Net en même temps (ou visualise une news qui comprend du code malicieux).
Dès chargement de la page, le mot de passe de l'utilisateur courant est changé.
The text was updated successfully, but these errors were encountered: