Nous verrons dans cette vidéo comment les CORS ou Cross Origin Request Sharing (ouf!) peuvent permettre un vol de données personnelles sur un site en javascript et java (vueJs + Quarkus), en abusant des cookies HTTP.
Nous verrons aussi comment une mauvaise implémentation des méthodes HTTP nous place en risque, même si nos CORS semblent bien configurés.
A l’issue de cette vidéo, j’espère que vous saurez enfin comment fonctionne cette brique étonnante mais vraiment déstabilisante de la sécurité du navigateur.
Chapitres:
00:00 Intro
00:30 Avertissement
00:56 L’application d’exemple + rappels rapide sur les cookies
03:28 Le domaine cible
05:57 L’Origin et le SOP : votre ange gardien
12:07 Les Cross Origin Request Sharing (CORS): comment ça marche ?
16:18 Vol de données via une attaque sur le CORS
22:06 Remédiation : Bien implémenter les Cross Origin. Exemple avec quarkus
30:56 Bypass via une méthode HTTP incorrecte
34:54 Remédiation complète
38:35 La suite …
Exemples de la vidéo :
Voir le README.md pour l’installation.
Passez sur la branche demo/delete-by-get pour le second example.
Liens :
Excellente doc de mozilla : https://developer.mozilla.org/fr/docs/Web/HTTP/CORS
- Configurer les CORS avec quarkus : https://quarkus.io/guides/security-cors
- Configuration quarkus : https://quarkus.io/guides/all-config
- vuejs : https://vuejs.org/
- https://vuetifyjs.com/en/
Neuronaddict Secure Coding 
Laisser un commentaire