Le mécanisme de validation de redirection intégré introduit dans Sitefinity CMS 11.1 protège désormais votre site Web contre les vulnérabilités Open Redirect, éliminant ainsi un moyen supplémentaire, pour les acteurs malveillants, d’attaquer vos utilisateurs.
Une des habitudes de base de la sécurité Web indique vérifiez vos liens hypertexte avant de cliquer dessus . Mais comment cela s’applique-t-il à l’exemple concret d’un professionnel occupé, passant d’une journée à l’autre, parcourant des milliers de liens? La vérité est que le temps n'est jamais suffisant pour inspecter chaque lien, et les attaquants deviennent si rusés qu'une inspection minutieuse peut parfois vous induire en erreur.
Sitefinity CMS vous enlève une partie de ce fardeau. La version 11.1 introduit un mécanisme de validation de redirection prêt à l'emploi dans le cadre du module de sécurité Web . Avant de passer en revue la nouvelle fonctionnalité, prenons un moment pour résumer le problème qu'elle résout.
La vulnérabilité OpenRedirect décrite en 4 étapes
Supposons, par exemple, que vous possédiez un site Web populaire. commerce électronique. Votre site Web, http://examplewebsite.com dispose d'une logique pour analyser les chaînes de requête d'URL et rediriger les utilisateurs vers un fournisseur de paiement souhaité, en fonction de la valeur de la chaîne de requête. Un attaquant exploite cette vulnérabilité en créant un site Web ayant l'aspect et la convivialité de l'un des fournisseurs de paiement que vous utilisez. Votre site Web est très populaire. L’attaquant peut ainsi envoyer facilement une multitude de courriels frauduleux, par exemple, en utilisant l’objet «Confirmer vos informations de paiement», aux utilisateurs. Les e-mails contiennent un lien hypertexte menant vers votre site, mais dans la chaîne de requête, ils transmettent l'URL de leur site malveillant. Par exemple: http://examplewebsite.com/paymentdetails?url= http://malicious.examplewebsite.com .
Voici comment cela se passe pour l'utilisateur sans méfiance:
- L'utilisateur reçoit le lien dans un courrier électronique et clique dessus
- Un navigateur est ouvert pour servir le lien et envoie une demande au serveur
- Le serveur traite la chaîne de requête et envoie une réponse au navigateur, en lui demandant d'emmener l'utilisateur vers un autre emplacement: le site malveillant
- L'utilisateur non averti ne remarque rien, car le site malveillant est soigneusement masqué pour ressembler au réel.
Comme le dit le proverbe, une image vaut mille mots:
Comment Sitefinity CMS peut-il aider
Le mécanisme de validation de redirection intégré introduit dans Sitefinity CMS 11.1 protège votre site Web (contre les vulnérabilités Open Back). Le module de sécurité Web empêche toute tentative malveillante de rediriger les utilisateurs vers un emplacement externe. Ce mécanisme fonctionne en vérifiant une tentative de redirection détectée par rapport à une liste blanche de domaines de confiance configurable . Si le module de sécurité Web détecte une redirection vers un domaine non configuré comme sécurisé, il intercepte cette tentative et affiche un message d'avertissement à l'intention de l'utilisateur au lieu d'effectuer la redirection.
Source link