[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Dolibarr-dev] Faille CSRF
From: |
Régis Houssin |
Subject: |
[Dolibarr-dev] Faille CSRF |
Date: |
Fri, 15 May 2009 15:11:17 +0200 |
User-agent: |
RoundCube Webmail/0.1-rc1 |
J'ai ajouté dans le main.inc :
la vérification du REFERER afin de refuser les appels GET qui ne viennent
pas de la propre installation d'un serveur dolibarr.
et la création et validation d'un jeton aléatoire qu'il faudra ajouter à
chaque requête POST afin de sécuriser les envois, il faudra ajouter cette
ligne dans le code à chaque formulaire POST :
print '<input type="hidden" name="token"
value="'.$_SESSION['newtoken'].'">';
Régis
- [Dolibarr-dev] Faille CSRF,
Régis Houssin <=