Les codeurs conquièrent la sécurité : série Share & Learn - Redirections et transferts non validés
Le codage d'un site Web ou d'une application capable de traiter les redirections et les transferts non validés peut être extrêmement dangereux pour vos utilisateurs et votre organisation. Cette erreur courante est souvent exploitée par des pirates informatiques qui cherchent à commettre des escroqueries par hameçonnage ou à accéder à des pages et à des informations qui seraient normalement interdites.
Chaque fois qu'une application Web est conçue pour rediriger les utilisateurs vers de nouvelles pages, ces demandes risquent d'être manipulées ou piratées. Cela peut se produire si aucun processus de validation n'est en place pour empêcher les paramètres de transfert de pointer vers des destinations inattendues.
La bonne nouvelle est que les redirections et les redirections non validées constituent l'une des vulnérabilités les plus faciles à éliminer de votre environnement. Une fois supprimés, vous pouvez prendre quelques mesures simples pour vous assurer qu'ils ne seront jamais générés à l'avenir.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques exploitent des vulnérabilités de redirection et de transfert non validées
- Pourquoi autoriser les redirections et les transferts non validés peut être dangereux
- Politiques et techniques qui peuvent être utilisées pour détecter et résoudre ce problème.
Comment les attaquants exploitent-ils les redirections et les redirections non validées ?
Les attaquants doivent d'abord trouver une application Web configurée pour rediriger les utilisateurs vers une ou plusieurs pages spécifiques. Si la page de destination est définie dans le code, il n'y a pas de vulnérabilité. Par exemple, en Java, il s'agirait d'un moyen sûr et prédéfini d'envoyer un utilisateur vers un nouvel emplacement sans qu'il soit obligé d'effectuer des actions, comme cliquer sur un lien hypertexte.
Response.sendRedirect (» http://www.knownsafesite.com «) ;
La vulnérabilité se produit si le site est programmé pour accepter les entrées de l'utilisateur pour la redirection, ou si le paramètre est laissé ouvert, peut-être pour obtenir les informations d'une autre source. Par exemple, un développeur pourrait utiliser le paramètre « URL'get ».
response.sendRedirect (request.getParameter (« url »)) ;
Bien que cela donne plus de flexibilité, cela crée également des vulnérabilités de redirections et de transferts non validées. Les pirates peuvent ajouter des informations après les barres obliques pour déclencher une redirection vers le site de leur choix, par exemple dans le cadre d'un e-mail de phishing. Les utilisateurs voient le domaine de confiance dans la première partie d'un lien et ne se rendent pas compte que le site Web peut les rediriger vers le site du pirate informatique.
Pourquoi les redirections et les transferts non validés sont-ils si dangereux ?
Le danger que représente l'autorisation de redirections et de transferts non validés peut être important. Pour les utilisateurs, le plus grand danger est d'être victimes d'attaques de phishing. Comme ils voient l'URL de premier niveau, ils sont plus susceptibles de faire confiance à un e-mail de phishing ou à une autre communication et de cliquer sur un lien. Et si la page vers laquelle ils sont redirigés ressemble à la vraie page, la tromperie peut être très efficace. Ils peuvent partager leur nom d'utilisateur, leur mot de passe ou d'autres informations d'identification sans jamais se douter qu'ils sont manipulés.
Supprimer la menace posée par les redirections et les transferts non validés
Les redirections et les redirections non validées prennent vie pendant le développement d'une application. Ils peuvent être éliminés après coup, mais le moyen le plus simple de les éliminer est tout simplement de ne pas autoriser les paramètres utilisateur ou les chaînes ouvertes dans le cadre d'une fonction de redirection ou de transfert. Définissez plutôt avec précision les URL vers lesquelles les utilisateurs seront redirigés, en éliminant les variables et en privant les attaquants de toute marge de manœuvre. Mieux encore, pensez à ne pas utiliser les redirections et les transferts.
S'il n'y a absolument aucun moyen d'éviter d'avoir des variables dans le cadre d'un processus de redirection ou de transfert, un processus de validation doit être mis en place pour s'assurer que la redirection est dirigée vers l'une des destinations valides. Enfin, utilisez des valeurs de mappage plutôt que des URL réelles. Les pirates informatiques essaieront plutôt d'utiliser les informations d'URL et ne seront probablement pas en mesure de deviner le schéma de mappage, même s'ils pensent qu'un tel schéma est utilisé.
Plus d'informations sur les redirections et les transferts non validés
Pour en savoir plus, vous pouvez consulter l'OWASP pages de référence sur les redirections et les transferts non validés. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Prenez soin des redirections et des transferts non validés une fois pour toutes. Appliquez vos nouvelles connaissances et testez vos compétences sur notre plateforme de formation gamifiée : [Commencez ici]
Le codage d'un site Web ou d'une application capable de traiter les redirections et les transferts non validés peut être extrêmement dangereux pour vos utilisateurs et votre organisation.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Le codage d'un site Web ou d'une application capable de traiter les redirections et les transferts non validés peut être extrêmement dangereux pour vos utilisateurs et votre organisation. Cette erreur courante est souvent exploitée par des pirates informatiques qui cherchent à commettre des escroqueries par hameçonnage ou à accéder à des pages et à des informations qui seraient normalement interdites.
Chaque fois qu'une application Web est conçue pour rediriger les utilisateurs vers de nouvelles pages, ces demandes risquent d'être manipulées ou piratées. Cela peut se produire si aucun processus de validation n'est en place pour empêcher les paramètres de transfert de pointer vers des destinations inattendues.
La bonne nouvelle est que les redirections et les redirections non validées constituent l'une des vulnérabilités les plus faciles à éliminer de votre environnement. Une fois supprimés, vous pouvez prendre quelques mesures simples pour vous assurer qu'ils ne seront jamais générés à l'avenir.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques exploitent des vulnérabilités de redirection et de transfert non validées
- Pourquoi autoriser les redirections et les transferts non validés peut être dangereux
- Politiques et techniques qui peuvent être utilisées pour détecter et résoudre ce problème.
Comment les attaquants exploitent-ils les redirections et les redirections non validées ?
Les attaquants doivent d'abord trouver une application Web configurée pour rediriger les utilisateurs vers une ou plusieurs pages spécifiques. Si la page de destination est définie dans le code, il n'y a pas de vulnérabilité. Par exemple, en Java, il s'agirait d'un moyen sûr et prédéfini d'envoyer un utilisateur vers un nouvel emplacement sans qu'il soit obligé d'effectuer des actions, comme cliquer sur un lien hypertexte.
Response.sendRedirect (» http://www.knownsafesite.com «) ;
La vulnérabilité se produit si le site est programmé pour accepter les entrées de l'utilisateur pour la redirection, ou si le paramètre est laissé ouvert, peut-être pour obtenir les informations d'une autre source. Par exemple, un développeur pourrait utiliser le paramètre « URL'get ».
response.sendRedirect (request.getParameter (« url »)) ;
Bien que cela donne plus de flexibilité, cela crée également des vulnérabilités de redirections et de transferts non validées. Les pirates peuvent ajouter des informations après les barres obliques pour déclencher une redirection vers le site de leur choix, par exemple dans le cadre d'un e-mail de phishing. Les utilisateurs voient le domaine de confiance dans la première partie d'un lien et ne se rendent pas compte que le site Web peut les rediriger vers le site du pirate informatique.
Pourquoi les redirections et les transferts non validés sont-ils si dangereux ?
Le danger que représente l'autorisation de redirections et de transferts non validés peut être important. Pour les utilisateurs, le plus grand danger est d'être victimes d'attaques de phishing. Comme ils voient l'URL de premier niveau, ils sont plus susceptibles de faire confiance à un e-mail de phishing ou à une autre communication et de cliquer sur un lien. Et si la page vers laquelle ils sont redirigés ressemble à la vraie page, la tromperie peut être très efficace. Ils peuvent partager leur nom d'utilisateur, leur mot de passe ou d'autres informations d'identification sans jamais se douter qu'ils sont manipulés.
Supprimer la menace posée par les redirections et les transferts non validés
Les redirections et les redirections non validées prennent vie pendant le développement d'une application. Ils peuvent être éliminés après coup, mais le moyen le plus simple de les éliminer est tout simplement de ne pas autoriser les paramètres utilisateur ou les chaînes ouvertes dans le cadre d'une fonction de redirection ou de transfert. Définissez plutôt avec précision les URL vers lesquelles les utilisateurs seront redirigés, en éliminant les variables et en privant les attaquants de toute marge de manœuvre. Mieux encore, pensez à ne pas utiliser les redirections et les transferts.
S'il n'y a absolument aucun moyen d'éviter d'avoir des variables dans le cadre d'un processus de redirection ou de transfert, un processus de validation doit être mis en place pour s'assurer que la redirection est dirigée vers l'une des destinations valides. Enfin, utilisez des valeurs de mappage plutôt que des URL réelles. Les pirates informatiques essaieront plutôt d'utiliser les informations d'URL et ne seront probablement pas en mesure de deviner le schéma de mappage, même s'ils pensent qu'un tel schéma est utilisé.
Plus d'informations sur les redirections et les transferts non validés
Pour en savoir plus, vous pouvez consulter l'OWASP pages de référence sur les redirections et les transferts non validés. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Prenez soin des redirections et des transferts non validés une fois pour toutes. Appliquez vos nouvelles connaissances et testez vos compétences sur notre plateforme de formation gamifiée : [Commencez ici]
Le codage d'un site Web ou d'une application capable de traiter les redirections et les transferts non validés peut être extrêmement dangereux pour vos utilisateurs et votre organisation. Cette erreur courante est souvent exploitée par des pirates informatiques qui cherchent à commettre des escroqueries par hameçonnage ou à accéder à des pages et à des informations qui seraient normalement interdites.
Chaque fois qu'une application Web est conçue pour rediriger les utilisateurs vers de nouvelles pages, ces demandes risquent d'être manipulées ou piratées. Cela peut se produire si aucun processus de validation n'est en place pour empêcher les paramètres de transfert de pointer vers des destinations inattendues.
La bonne nouvelle est que les redirections et les redirections non validées constituent l'une des vulnérabilités les plus faciles à éliminer de votre environnement. Une fois supprimés, vous pouvez prendre quelques mesures simples pour vous assurer qu'ils ne seront jamais générés à l'avenir.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques exploitent des vulnérabilités de redirection et de transfert non validées
- Pourquoi autoriser les redirections et les transferts non validés peut être dangereux
- Politiques et techniques qui peuvent être utilisées pour détecter et résoudre ce problème.
Comment les attaquants exploitent-ils les redirections et les redirections non validées ?
Les attaquants doivent d'abord trouver une application Web configurée pour rediriger les utilisateurs vers une ou plusieurs pages spécifiques. Si la page de destination est définie dans le code, il n'y a pas de vulnérabilité. Par exemple, en Java, il s'agirait d'un moyen sûr et prédéfini d'envoyer un utilisateur vers un nouvel emplacement sans qu'il soit obligé d'effectuer des actions, comme cliquer sur un lien hypertexte.
Response.sendRedirect (» http://www.knownsafesite.com «) ;
La vulnérabilité se produit si le site est programmé pour accepter les entrées de l'utilisateur pour la redirection, ou si le paramètre est laissé ouvert, peut-être pour obtenir les informations d'une autre source. Par exemple, un développeur pourrait utiliser le paramètre « URL'get ».
response.sendRedirect (request.getParameter (« url »)) ;
Bien que cela donne plus de flexibilité, cela crée également des vulnérabilités de redirections et de transferts non validées. Les pirates peuvent ajouter des informations après les barres obliques pour déclencher une redirection vers le site de leur choix, par exemple dans le cadre d'un e-mail de phishing. Les utilisateurs voient le domaine de confiance dans la première partie d'un lien et ne se rendent pas compte que le site Web peut les rediriger vers le site du pirate informatique.
Pourquoi les redirections et les transferts non validés sont-ils si dangereux ?
Le danger que représente l'autorisation de redirections et de transferts non validés peut être important. Pour les utilisateurs, le plus grand danger est d'être victimes d'attaques de phishing. Comme ils voient l'URL de premier niveau, ils sont plus susceptibles de faire confiance à un e-mail de phishing ou à une autre communication et de cliquer sur un lien. Et si la page vers laquelle ils sont redirigés ressemble à la vraie page, la tromperie peut être très efficace. Ils peuvent partager leur nom d'utilisateur, leur mot de passe ou d'autres informations d'identification sans jamais se douter qu'ils sont manipulés.
Supprimer la menace posée par les redirections et les transferts non validés
Les redirections et les redirections non validées prennent vie pendant le développement d'une application. Ils peuvent être éliminés après coup, mais le moyen le plus simple de les éliminer est tout simplement de ne pas autoriser les paramètres utilisateur ou les chaînes ouvertes dans le cadre d'une fonction de redirection ou de transfert. Définissez plutôt avec précision les URL vers lesquelles les utilisateurs seront redirigés, en éliminant les variables et en privant les attaquants de toute marge de manœuvre. Mieux encore, pensez à ne pas utiliser les redirections et les transferts.
S'il n'y a absolument aucun moyen d'éviter d'avoir des variables dans le cadre d'un processus de redirection ou de transfert, un processus de validation doit être mis en place pour s'assurer que la redirection est dirigée vers l'une des destinations valides. Enfin, utilisez des valeurs de mappage plutôt que des URL réelles. Les pirates informatiques essaieront plutôt d'utiliser les informations d'URL et ne seront probablement pas en mesure de deviner le schéma de mappage, même s'ils pensent qu'un tel schéma est utilisé.
Plus d'informations sur les redirections et les transferts non validés
Pour en savoir plus, vous pouvez consulter l'OWASP pages de référence sur les redirections et les transferts non validés. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Prenez soin des redirections et des transferts non validés une fois pour toutes. Appliquez vos nouvelles connaissances et testez vos compétences sur notre plateforme de formation gamifiée : [Commencez ici]
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Le codage d'un site Web ou d'une application capable de traiter les redirections et les transferts non validés peut être extrêmement dangereux pour vos utilisateurs et votre organisation. Cette erreur courante est souvent exploitée par des pirates informatiques qui cherchent à commettre des escroqueries par hameçonnage ou à accéder à des pages et à des informations qui seraient normalement interdites.
Chaque fois qu'une application Web est conçue pour rediriger les utilisateurs vers de nouvelles pages, ces demandes risquent d'être manipulées ou piratées. Cela peut se produire si aucun processus de validation n'est en place pour empêcher les paramètres de transfert de pointer vers des destinations inattendues.
La bonne nouvelle est que les redirections et les redirections non validées constituent l'une des vulnérabilités les plus faciles à éliminer de votre environnement. Une fois supprimés, vous pouvez prendre quelques mesures simples pour vous assurer qu'ils ne seront jamais générés à l'avenir.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques exploitent des vulnérabilités de redirection et de transfert non validées
- Pourquoi autoriser les redirections et les transferts non validés peut être dangereux
- Politiques et techniques qui peuvent être utilisées pour détecter et résoudre ce problème.
Comment les attaquants exploitent-ils les redirections et les redirections non validées ?
Les attaquants doivent d'abord trouver une application Web configurée pour rediriger les utilisateurs vers une ou plusieurs pages spécifiques. Si la page de destination est définie dans le code, il n'y a pas de vulnérabilité. Par exemple, en Java, il s'agirait d'un moyen sûr et prédéfini d'envoyer un utilisateur vers un nouvel emplacement sans qu'il soit obligé d'effectuer des actions, comme cliquer sur un lien hypertexte.
Response.sendRedirect (» http://www.knownsafesite.com «) ;
La vulnérabilité se produit si le site est programmé pour accepter les entrées de l'utilisateur pour la redirection, ou si le paramètre est laissé ouvert, peut-être pour obtenir les informations d'une autre source. Par exemple, un développeur pourrait utiliser le paramètre « URL'get ».
response.sendRedirect (request.getParameter (« url »)) ;
Bien que cela donne plus de flexibilité, cela crée également des vulnérabilités de redirections et de transferts non validées. Les pirates peuvent ajouter des informations après les barres obliques pour déclencher une redirection vers le site de leur choix, par exemple dans le cadre d'un e-mail de phishing. Les utilisateurs voient le domaine de confiance dans la première partie d'un lien et ne se rendent pas compte que le site Web peut les rediriger vers le site du pirate informatique.
Pourquoi les redirections et les transferts non validés sont-ils si dangereux ?
Le danger que représente l'autorisation de redirections et de transferts non validés peut être important. Pour les utilisateurs, le plus grand danger est d'être victimes d'attaques de phishing. Comme ils voient l'URL de premier niveau, ils sont plus susceptibles de faire confiance à un e-mail de phishing ou à une autre communication et de cliquer sur un lien. Et si la page vers laquelle ils sont redirigés ressemble à la vraie page, la tromperie peut être très efficace. Ils peuvent partager leur nom d'utilisateur, leur mot de passe ou d'autres informations d'identification sans jamais se douter qu'ils sont manipulés.
Supprimer la menace posée par les redirections et les transferts non validés
Les redirections et les redirections non validées prennent vie pendant le développement d'une application. Ils peuvent être éliminés après coup, mais le moyen le plus simple de les éliminer est tout simplement de ne pas autoriser les paramètres utilisateur ou les chaînes ouvertes dans le cadre d'une fonction de redirection ou de transfert. Définissez plutôt avec précision les URL vers lesquelles les utilisateurs seront redirigés, en éliminant les variables et en privant les attaquants de toute marge de manœuvre. Mieux encore, pensez à ne pas utiliser les redirections et les transferts.
S'il n'y a absolument aucun moyen d'éviter d'avoir des variables dans le cadre d'un processus de redirection ou de transfert, un processus de validation doit être mis en place pour s'assurer que la redirection est dirigée vers l'une des destinations valides. Enfin, utilisez des valeurs de mappage plutôt que des URL réelles. Les pirates informatiques essaieront plutôt d'utiliser les informations d'URL et ne seront probablement pas en mesure de deviner le schéma de mappage, même s'ils pensent qu'un tel schéma est utilisé.
Plus d'informations sur les redirections et les transferts non validés
Pour en savoir plus, vous pouvez consulter l'OWASP pages de référence sur les redirections et les transferts non validés. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Prenez soin des redirections et des transferts non validés une fois pour toutes. Appliquez vos nouvelles connaissances et testez vos compétences sur notre plateforme de formation gamifiée : [Commencez ici]
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
