IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Symfony PHP Discussion :

CSRF attaque avec IE [1.x]


Sujet :

Symfony PHP

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. 07/07/2011, 16h16 #1
    insane1
    insane1 est déconnecté
    Membre éclairé
    Profil pro
    Inscrit en
    Février 2009
    Messages
    321
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2009
    Messages : 321
    Par défaut CSRF attaque avec IE
    Bonjour,
    Je viens de déployer mon application sur mon serveur.
    Arrivant à la page de connexion, j'entre mes identifiants et mot de passe, tout fonctionne bien...
    Sauf sur IE. En effet, impossible de me connecter sur l'appli en utilisant IE (FireFox et Chrome pas de problèmes).
    Je reçois une alerte "csrf token: CSRF attack detected."

    C'est étrange, car quand je développais en local, je n'ai jamais eu cette erreur même avec IE...

    J'utilise le plugin sfDoctrineGuardPlugin.

    Avez vous une idée du pourquoi ?
    Répondre avec citation Répondre avec citation   0  0
  2. 08/07/2011, 12h20 #2
    insane1
    insane1 est déconnecté
    Membre éclairé
    Profil pro
    Inscrit en
    Février 2009
    Messages
    321
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2009
    Messages : 321
    Par défaut
    En désactivant la protection CSRF sur ce form je ne vois plus l'erreur:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    $this->disableLocalCSRFProtection();
    Mais le système ne m'affiche pas la page voulue...
    Il reste sur la page de login. (signinSuccess)
    Répondre avec citation Répondre avec citation   0  0
  3. 08/07/2011, 15h31 #3
    mathieu44800
    mathieu44800 est déconnecté
    Membre chevronné
    Inscrit en
    Août 2007
    Messages
    360
    Détails du profil
    Informations forums :
    Inscription : Août 2007
    Messages : 360
    Par défaut
    Bonjour,

    Aurais tu un petit bout de code sur ta manière d'utiliser ce plugin ??

    C'est étonnant que tu n'ai pas cette erreur sur d'autres navigateurs, serait-ce un problème de cache ??

    Le CRSF, ne le désactive pas, c'est un conseil, il s'agit d'un protection de sécurité, qui permet de sécuriser tes formulaires grâce à l'ajout d'un token de sécurité dans chacun d'eux...

    Cordialement,

    Mathieu
    Répondre avec citation Répondre avec citation   0  0
  4. 08/07/2011, 17h50 #4
    insane1
    insane1 est déconnecté
    Membre éclairé
    Profil pro
    Inscrit en
    Février 2009
    Messages
    321
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2009
    Messages : 321
    Par défaut
    Ma manière d'utiliser ce plugin est celle de base, je n'ai pas touché au code du plugin...

    Oui je sais qu'il est déconseillé de désactiver la protection csrf, je l'ai fais dans l'unique but de voir si IE arrivait à se connecter en n'ayant pas cette validation à faire... Et il se trouve que non.

    J'ai vidé maintes fois le cache mais cela ne change rien...

    De plus sous Chrome ou FF, aucun problèmes
    Répondre avec citation Répondre avec citation   0  0
  5. 09/07/2011, 10h38 #5
    mathieu44800
    mathieu44800 est déconnecté
    Membre chevronné
    Inscrit en
    Août 2007
    Messages
    360
    Détails du profil
    Informations forums :
    Inscription : Août 2007
    Messages : 360
    Par défaut
    Bonjour,

    Tu peux nous mettre un petit bout de code, qu'on appréhende mieux ton problème ??

    A vu de nez, tu dois mal rediriger lors du submit, c'est pour ça que le framework te renvoie une attaque potentielle !!!

    Cordialement,

    Mathieu
    Répondre avec citation Répondre avec citation   0  0
  6. 11/07/2011, 14h17 #6
    insane1
    insane1 est déconnecté
    Membre éclairé
    Profil pro
    Inscrit en
    Février 2009
    Messages
    321
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2009
    Messages : 321
    Par défaut
    Il n'y a justement aucun code à montrer, j'ai juste une application sécurisée.
    Donc lorsqu'on est pas connecté, on voit le formulaire de connexion de sfDotrineGuardPlugin.
    Le module sfGuardAuth est bien activé, ainsi que sfGuardGroup, sfGuardUser et sfGuardPermission...
    Répondre avec citation Répondre avec citation   0  0
+ Répondre à la discussion
Cette discussion est résolue.
ActualitésFAQ SymfonyCours et Tutoriels SymfonyLivres Symfony
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. Avec quoi attaquer ma base Firebird ?
    Par jesusnavas dans le forum Bases de données
    Réponses: 21
    Dernier message: 20/10/2008, 11h27
  2. attaquer une base de données Oracle avec du code C
    Par lecyberax dans le forum Oracle
    Réponses: 3
    Dernier message: 18/04/2006, 13h24
  3. attaquer base sql server avec easyphp sous windows
    Par jarod71 dans le forum MS SQL Server
    Réponses: 7
    Dernier message: 11/12/2003, 14h17
  4. Comment attaquer Mysql avec Visual C++
    Par brisou_ dans le forum Administration
    Réponses: 4
    Dernier message: 11/03/2003, 13h12

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo