06-04-2009, 12:31 AM
[HS]
Je proposais donc un script permettant d'envoyer les donnée de l'action en POST même si on clique sur un lien (et non un bouton).
Enfin il n'y a à l'heure actuel aucune sécurité fiable à mettre en place par les webdeveloppeurs contre ce genre d'attaque, on ne peut que les freiner(du moins pour le protocole http). Les mesures que tu décris font passé le temps de développement de l'attaque de 5 minutes à 1h.
En creusant un peu et en étant un peu tordu on peut s'assurer que çà prenne un jour.
La seule sécurité efficace qui devrait être mise en place ce fait au niveau de la programmation des navigateurs.
[/HS]
Citation :fallait envoyer plutot en POSTIl n'y a pas 36 manières d'envoyer en POST... Formulaire ou via XMLHttpRequest().
Je proposais donc un script permettant d'envoyer les donnée de l'action en POST même si on clique sur un lien (et non un bouton).
Enfin il n'y a à l'heure actuel aucune sécurité fiable à mettre en place par les webdeveloppeurs contre ce genre d'attaque, on ne peut que les freiner(du moins pour le protocole http). Les mesures que tu décris font passé le temps de développement de l'attaque de 5 minutes à 1h.
En creusant un peu et en étant un peu tordu on peut s'assurer que çà prenne un jour.
La seule sécurité efficace qui devrait être mise en place ce fait au niveau de la programmation des navigateurs.
[/HS]