avril
2007
Un article de doctorrock
Ilia Alshanetsky relaye une info interessante concernant IE et la redirection POST :
Tout le monde sait faire une redirection GET. Et bien la même chose peut être faite via la méthode POST, et de manière totallement transparente, sous IE en tout cas.
Ce fait ne représente pas en soi une menace, mais associer à un peu de XSS, et là, c’est plus pareil…
Imaginons un utilisateur qui envoie un formulaire en POST. Une faille XSS a été introduite et a modifié la cible du formulaire, celui-ci est envoyé vers un site malveillant, par exemple http://badguysite/post.php
Au moment où l’utilisateur envoie le formulaire, il est envoyé vers le site malveillant, qui intercepte les champs du formulaire ( idéalement un couple login/mot de passe ), et renvoie une redirection HTTP vers le site d’origine, pour faire mine que rien ne s’est passé.
Une redirection POST se génère via un code 307 HTTP comme suit :
header("Location: URL", TRUE, 307);
?>
Mais selon la RFC :
« Si le code 307 est envoyé sur une requête autre que GET ou HEAD, alors le client ne doit PAS rediriger autommatiquement la requête sans en avertir l’utilisateur explicitement (…) »
Cependant, alors que Opera et Firefox respectent la RFC, il n’en est pas de même pour IE, même dans sa dernière version ( IE7 ), qui semble tout simplement ignorer ce fait, et permettre donc au piège de se refermer. Ainsi, une redirection POST d’un domaine A vers un domaine B, se fera sans aucun avertissement sous IE, ce qui n’est pas très rassurant.
Du coté de Safari, c’est un peu spécial : aucun message, mais en revanche, il tue la requête POST et retourne un 302 : trouvé, mais sous une autre URI. Les paramètres sont donc perdus, mais les données sont tout de même interceptées par le site pirate « in the middle ».
Commentaires récents
Archives
- novembre 2010
- août 2010
- juillet 2010
- juin 2010
- mai 2010
- avril 2010
- mars 2010
- février 2010
- janvier 2010
- décembre 2009
- novembre 2009
- octobre 2009
- septembre 2009
- août 2009
- juillet 2009
- juin 2009
- mai 2009
- avril 2009
- mars 2009
- février 2009
- janvier 2009
- décembre 2008
- novembre 2008
- octobre 2008
- septembre 2008
- août 2008
- juillet 2008
- juin 2008
- mai 2008
- avril 2008
- mars 2008
- février 2008
- janvier 2008
- décembre 2007
- novembre 2007
- octobre 2007
- septembre 2007
- août 2007
- juillet 2007
- juin 2007
- mai 2007
- avril 2007
- mars 2007
- février 2007