Show Menu
SUJETS×

Prévention des attaques CSRF

Fonctionnement des attaques CSRF

Une attaque multisite par usurpation de requête ou CRSF (Cross-site request forgery) consiste à utiliser le navigateur d’un utilisateur valide pour envoyer une requête malveillante via un élément iframe, par exemple. Le navigateur envoyant les cookies sur la base de domaines, si l’utilisateur est connecté à une application, ses données peuvent être corrompues.
Imaginons, par exemple, un scénario où vous êtes connecté à Administration Console dans un navigateur. Vous recevez un message électronique contenant un lien. Vous cliquez sur le lien qui vient ouvrir un nouvel onglet dans votre navigateur. La page que vous avez ouverte contient un iFrame masqué qui envoie une requête malveillante au serveur Forms à l’aide du cookie de votre session AEM forms authentifiée. Comme User Management reçoit un cookie valide, il transmet la requête.

Fonctionnement des référents autorisés

AEM forms offre une option de filtrage des référents aidant à prévenir les attaques CSRF. Le filtrage des référents fonctionne de la manière suivante :
  1. Le serveur Forms vérifie la méthode HTTP utilisée pour l’appel :
    • S’il s’agit d’une méthode POST, le serveur Forms vérifie l’en-tête référent.
    • S’il s’agit d’une méthode GET, le serveur Forms ignore la vérification du référent, à moins que la variable CRSF_CHECK_GETS ne soit définie sur true. Dans ce cas, il vérifie l’en-tête du référent. La variable CSRF_CHECK_GETS peut être spécifiée dans le fichier web.xml de votre application (voir Protection contre les attaques multisites par usurpation de requête dans le Guide de renforcement et de sécurité ).
  2. Le serveur Forms vérifie si l’URI requis est autorisé :
    • Si l’URI est autorisé, le serveur transmet la requête.
    • Si l’URI requis n’est pas autorisé, le serveur récupère le référent de la requête.
  3. S’il existe un référent pour la requête, le serveur vérifie s’il s’agit d’un référent autorisé. Si le référent est autorisé, le serveur vérifie qu’il ne fait pas partie des exceptions aux référents autorisés :
    • S’il s’agit d’une exception, la requête est bloquée.
    • S’il ne fait pas partie des exceptions, la requête est transmise.
  4. S’il n’existe aucun référent pour la requête, le serveur vérifie que les référents de valeur NULL sont autorisés.
    • Si les référents de valeur NULL sont autorisés, la requête est transmise.
    • Si ce n’est pas le cas, le serveur vérifie que l’URI requis fait partie des exceptions aux référents de valeur NULL et traite la requête en fonction.

Configuration des référents autorisés

Lorsque vous exécutez Configuration Manager, l’hôte par défaut et l’adresse IP ou le serveur Forms sont ajoutés à la liste de référents autorisés. Vous pouvez modifier cette liste dans Administration Console.
  1. Dans Administration Console, cliquez sur Paramètres > Gestion des utilisateurs > Configuration > Configurer les URL des référents autorisés. La liste de référents autorisés s’affiche en bas de la page.
  2. Pour ajouter un référent autorisé :
    • Saisissez un nom d’hôte ou une adresse IP dans le champ Référents autorisés. Pour ajouter plusieurs référents autorisés en même temps, saisissez chaque nom d’hôte ou adresse IP dans une nouvelle ligne.
    • Dans les champs Port HTTP et Port HTTPS, indiquez les ports à autoriser pour le protocole HTTP ou HTTPS ou pour les deux. Si vous laissez ces zones vides, les ports par défaut (le port 80 pour le protocole HTTP et le port 443 pour le protocole HTTPS) sont utilisés. Si vous saisissez  0 (zéro) dans les champs, tous les ports sont activés sur ce serveur. Vous pouvez également saisir un numéro de port spécifique pour activer uniquement ce port.
    • Cliquez sur Ajouter.
  3. Pour supprimer une entrée de la liste de référents autorisés, sélectionnez l’élément dans la liste puis cliquez sur Supprimer.
    Si la liste de référents autorisés est vide, la fonction CSRF est désactivée et le système n’est donc plus sécurisé.
  4. Après avoir modifié la liste de référents autorisés, redémarrez le serveur AEM forms.