CSP : introduction à la stratégie de sécurité du contenu

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités


Résumé

Dans cet article, nous aborderons CSP, cette politique souvent mal configurée, voire complètement absente. Nous étudierons également quelques cas réels de contournement rencontrés lors de tests d’intrusion.


1. Qu’est-ce que CSP ?

CSP pour Content Security Policy, ou Politique de Sécurité du Contenu en Français, est un mécanisme de protection implémenté par les navigateurs internet dont l’un des objectifs principaux est de mitiger les vulnérabilités XSS. CSP est de plus en plus utilisé par les applications web, et c’est un mécanisme que l’on retrouve régulièrement lors de tests d’intrusion. Cependant, la configuration mise en place est souvent inefficace et facilement contournable par une personne malveillante.

L’implémentation de CSP se traduit sous la forme d’un entête renvoyé dans les réponses HTTP. Voici un exemple de réponse contenant l’entête CSP :

HTTP/2 200
date: Tue, 22 Sep 2020 16:42:24 GMT
content-type: text/html; charset=UTF-8
cache-control: max-age=300, public
content-security-policy: default-src 'none'; base-uri 'self'; block-all-mixed-content; script-src 'self' 'sha256-XrP50Mq6s78GLH2Vyt4BfKhn8rx4OdU6FYqQGbxRuZc=';...
Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Stocker ses secrets dans Git, une mauvaise pratique pouvant avoir de lourdes conséquences

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Spécialités
Résumé

Dans un rapport datant d’avril 2020, GitLab indique que 18 % des dépôts analysés sur gitlab.com comportaient des problèmes de gestion des secrets. Quelles peuvent être les conséquences liées à ces erreurs ? Quelle stratégie adopter pour gérer au mieux ses secrets ?

Zéro SQLi malgré les développeurs

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Spécialités
Résumé

Nous proposons une méthode pour effectuer des requêtes SQL qui garantit l'invulnérabilité aux injections SQL, y compris lorsqu'elle est utilisée par un développeur pressé ou incompétent, contrairement aux requêtes paramétrées. Basée sur l'utilisation d'arbres de syntaxe abstraite, elle permet facilement de construire des requêtes dynamiques et est plus facile à mettre en œuvre qu'un ORM. Nous proposons une bibliothèque Java implémentant nos idées, mais la méthode peut s'appliquer à d'autres langages de programmation et d'autres types de requêtes.

Introduction à QBDI et ses bindings Python

Magazine
Marque
MISC
Numéro
109
Mois de parution
mai 2020
Spécialités
Résumé

Le présent article traite de l'outil d'instrumentation dynamique QBDI. C'est un framework de DBI (Dynamic Binary Instrumentation), comparable à d'autres projets publics tels qu’Intel PIN, Valgrind ou encore DynamoRIO. Avant d'entrer dans le vif du sujet, quelques rappels peuvent s'avérer nécessaires…