Activer le jeton anti-CSRF [nouveau dans Security Center 1.3 et supprimé dans la version 1.5]

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez la propriété pour garantir l’utilisation glide.security.use_csrf_token d’un jeton de sécurité pour identifier et valide les demandes entrantes, qui sont ensuite utilisées pour prévenir ces attaques.

    La falsification de requête inter-site (CSRF) est une attaque qui oblige un utilisateur final à exécuter des actions indésirables sur une application Web dans laquelle il est actuellement authentifié. Les attaques CSRF ciblent spécifiquement les demandes de changement d’état, et non le vol de données, car l’attaquant n’a aucun moyen de voir la réponse à la requête falsifiée.

    Les propriétés suivantes peuvent être activées pour les contrôles supplémentaires sur le jeton CSRF :
    • glide.security.csrf_previous.time_limit
    • glide.security.csrf_previous.allow
    • glide.security.csrf.strict.validation.mode

    En savoir plus

    Attribut Description
    Nom de la propriété glide.security.use_csrf_token
    Type de configuration Propriétés système (/sys_properties_list.do)
    Catégorie Contrôle d'accès
    Objectif Pour protéger l’application contre une éventuelle attaque CSRF.
    Cote de risque de sécurité 8.1
    Valeur recommandée VRAI
    Valeur par défaut VRAI
    Impact fonctionnel (Faible) Cette remédiation active une étape de validation supplémentaire avant que l’utilisateur d’instance n’envoie une demande d’écriture à l’instance. Chaque demande d’écriture contient un jeton CSRF (c’est-à-dire un ID de validation/CSRF lié à la session utilisateur). Lorsque la session utilisateur expire, le jeton de sécurité expire avec elle.
    Risque de sécurité (Élevé) La falsification des requêtes intersites constitue un risque de sécurité important qui porte atteinte à l’intégrité des données de l’instance. Un attaquant peut lancer l’attaque CSRF en abusant de la confiance d’un utilisateur d’instance. À l’aide d’attaques d’ingénierie sociale, un utilisateur peut soumettre une requête mal formée au nom de l’attaquant de l’instance.

    Pour en savoir plus sur l’ajout ou la création d’une propriété système, reportez-vous à la section Add a system property.