Bonjour, Je viens de lire un article sur les failles CSRF (Cross-Site Request Forgeries) : forcer l'utilisateur à être le déclenchement d'une action, en d'autres termes, l'action va être réalisée par le navigateur de l'utilisateur sans s'en apercevoir.
Imaginez qu'une session Dolibarr soit ouverte sur votre navigateur et que dans une autre fenêtre vous chargé une page html contenant cette appel à une image : <img src="http://votresitedolibarr/admin/const.php?rowid=200&entity=1&action=delete"; /> la page supprimera la constante ayant l'id 200 de votre installation dolibarr visée si bien sur, concernant cette page, la session admin soit ouverte. Et ceci sans s'en apercevoir, alors imaginez un code complexe avec des boucles !!! Voici ce que j'ai mis comme protection en exemple dans /admin/const.php if (! empty($_SERVER['HTTP_REFERER']) && !eregi(DOL_MAIN_URL_ROOT, $_SERVER['HTTP_REFERER'])) accessforbidden(); ceci compare la provenance de l'appel à la page et interdit l'accès si ça ne vient pas du serveur. Il va falloir vérifier chaque page afin de se protéger de ce genre d'attaque. -- Cordialement Houssin Régis _______________________________________________ Dolibarr-dev mailing list [email protected] http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
