Fermer

novembre 21, 2018

Sitefinity CMS 11.1 inclut désormais la protection OpenRedirect


Le mécanisme de validation de redirection intégré introduit dans Sitefinity CMS 11.1 protège désormais votre site Web contre les vulnérabilités Open Redirect, éliminant ainsi un moyen supplémentaire, pour les acteurs malveillants, d’attaquer vos utilisateurs.

Une des habitudes de base de la sécurité Web indique vérifiez vos liens hypertexte avant de cliquer dessus . Mais comment cela s’applique-t-il à l’exemple concret d’un professionnel occupé, passant d’une journée à l’autre, parcourant des milliers de liens? La vérité est que le temps n'est jamais suffisant pour inspecter chaque lien, et les attaquants deviennent si rusés qu'une inspection minutieuse peut parfois vous induire en erreur.

Sitefinity CMS vous enlève une partie de ce fardeau. La version 11.1 introduit un mécanisme de validation de redirection prêt à l'emploi dans le cadre du module de sécurité Web . Avant de passer en revue la nouvelle fonctionnalité, prenons un moment pour résumer le problème qu'elle résout.

La vulnérabilité OpenRedirect décrite en 4 étapes

Supposons, par exemple, que vous possédiez un site Web populaire. commerce électronique. Votre site Web, http://examplewebsite.com dispose d'une logique pour analyser les chaînes de requête d'URL et rediriger les utilisateurs vers un fournisseur de paiement souhaité, en fonction de la valeur de la chaîne de requête. Un attaquant exploite cette vulnérabilité en créant un site Web ayant l'aspect et la convivialité de l'un des fournisseurs de paiement que vous utilisez. Votre site Web est très populaire. L’attaquant peut ainsi envoyer facilement une multitude de courriels frauduleux, par exemple, en utilisant l’objet «Confirmer vos informations de paiement», aux utilisateurs. Les e-mails contiennent un lien hypertexte menant vers votre site, mais dans la chaîne de requête, ils transmettent l'URL de leur site malveillant. Par exemple: http://examplewebsite.com/paymentdetails?url= http://malicious.examplewebsite.com .

Voici comment cela se passe pour l'utilisateur sans méfiance:

  1. L'utilisateur reçoit le lien dans un courrier électronique et clique dessus
  2. Un navigateur est ouvert pour servir le lien et envoie une demande au serveur
  3. Le serveur traite la chaîne de requête et envoie une réponse au navigateur, en lui demandant d'emmener l'utilisateur vers un autre emplacement: le site malveillant
  4. L'utilisateur non averti ne remarque rien, car le site malveillant est soigneusement masqué pour ressembler au réel.

Comme le dit le proverbe, une image vaut mille mots:

OpenRedirect en 4 étapes "title =" OpenRedirect en 4 étapes "data-openoriginalimageonclick =" true " data-method = "ResizeAndCropResizeAndCropArguments" data-customsizemethodproperties = "{" Largeur ":" 400 "," Hauteur ":" 200 "," ScaleUp ": false," Qualité ":" Elevé "} /> </a data-recalc-dims=

Ce scénario décrit une vulnérabilité de redirections et transferts non validés également connu sous le nom Open Redirect .

Comment Sitefinity CMS peut-il aider

Le mécanisme de validation de redirection intégré introduit dans Sitefinity CMS 11.1 protège votre site Web (contre les vulnérabilités Open Back). Le module de sécurité Web empêche toute tentative malveillante de rediriger les utilisateurs vers un emplacement externe. Ce mécanisme fonctionne en vérifiant une tentative de redirection détectée par rapport à une liste blanche de domaines de confiance configurable . Si le module de sécurité Web détecte une redirection vers un domaine non configuré comme sécurisé, il intercepte cette tentative et affiche un message d'avertissement à l'intention de l'utilisateur au lieu d'effectuer la redirection.

openredirectwarningscreen "title =" openredirectwarningscreen "data-method =" ResizeFitToAreaArguments "data-customsizemethodproperties =" {"MaxWidth": "600", "MaxHeight": "" ",", "," Faux, "Quality : "Elevé"} "/></p data-recalc-dims=

L'écran d'avertissement informe les utilisateurs de la tentative de redirection détectée et fournit des informations supplémentaires sur les paramètres d'URL de redirection. Les utilisateurs peuvent choisir de passer à la page de redirection ou de revenir à la page d'accueil de votre site Web Sitefinity CMS. La possibilité de personnaliser entièrement la page d'avertissement de validation de la redirection est un détail vraiment judicieux, permettant aux utilisateurs de bénéficier de la fonctionnalité de sécurité et de l'intégrer à l'apparence de leur site Web.

Le mécanisme de validation de la redirection est suffisamment intelligent pour détecter toute tentative de redirection vers des domaines externes, bien sûr. Mais il ne se chargera que de détecter la redirection et d'afficher un avertissement. La décision de poursuivre le lien ou de le renvoyer à la page d'accueil appartient aux visiteurs du site. De plus, la validation de la redirection ne fournira pas de protection contre un clic sur un lien pointant directement vers un domaine externe. Il est impossible pour le module de sécurité Web du CMS Sitefinity d'intervenir dans de tels cas, car cette demande n'est jamais envoyée au serveur de votre site Web, mais est exécutée directement par le navigateur.

La ​​validation de la redirection est activée par défaut pour tous les nouveaux projets créés avec Sitefinity CMS 11.1, vous bénéficiez donc immédiatement de cette protection. Pour ceux d'entre vous qui envisagent de mettre à niveau des projets existants vers la version 11.1, la validation de la redirection apporte une raison supplémentaire de le faire. Sachez que la fonctionnalité n'est pas activée par défaut pour les projets mis à niveau. Assurez-vous de l'activer dans votre liste de vérification des tâches à effectuer pour la mise à niveau, à moins que vous n'ayez une bonne raison de ne pas bénéficier de cet ajout formidable au module de sécurité Web de Sitefinity CMS.

Le meilleur outil 2023 pour ta croissance Instagram !



Source link