accueilLogicielsDéveloppement et Qualité LogicielsFailles de sécurité des applications Web
 

Redirection et renvois non validés


1. Principe
2. Exemples d’attaque
3. Parade et bonnes pratiques

Principe

 Les redirections d’adresse sont utilisées dans les applications Web pour effectuer un changement de page en fonction d’un paramètre.

 L’utilisation de la redirection est particulièrement utilisée pour les attaques par hameçonnage (ou phishing). En cliquant sur un lien utilisant une page de redirection, l’utilisateur est automatiquement emmené vers une autre page. Cette redirection peut être utilisée dans le cadre d’une attaque CSRF (voir paragraphe 3.6).

Exemples d’attaque

 Le script suivant est un exemple de page de redirection en utilisant la redirection par code HTML.

Si un attaquant a connaissance d’une page de redirection vulnérables, il peut l’utiliser dans un lien pour faire rediriger l’utilisateur vers une page Web.

<a href="http://www.application-securisee.com/redirect.php?www.attaquant.com/attaque.php">
http://www.application-securisee.com</a>

Dans ce cas l’utilisateur est leurré. Le lien pointe bien vers l’application, mais va le rediriger vers une page malveillante.

Parade et bonnes pratiques

 La redirection ne doit renvoyer qu’à des pages locales. Dans ce cas les caractères spéciaux doivent être prohibés.

 En cas de changement d’adresse ou de déplacement d’une page, il vaut mieux utiliser la redirection paramétrée dans le serveur http. Par exemple avec Apache il est possible de placer un fichier « .htaccess » pour paramétrer les redirections automatiques.

 

Retour vers le haut de la page   PDF
Article précédent Page d'accueil Article suivant
< Protection insuffisante de la couche transport Sommaire | Bonnes pratiques >

 

Guillaume HARRY
Envoyer un courriel

 

Contenu sous licence Creative Commons CC-BY-NC-ND


ARESU
Direction des Systèmes d'Information du CNRS

358 rue P.-G. de Gennes
31676 LABEGE Cedex

Bâtiment 1,
1 Place Aristide Briand
92195 MEUDON Cedex



 

 

Direction des Systèmes d'Information

Pôle ARESU

Accueil Imprimer Plan du site Credits