Alerte sécurité ! Nous sommes tous victimes des vulnérabilités des logiciels libres

//Vulnerable JavaScript code in a comment section
const userComment = ‘<img src=a onerror=”stealCookies()”>Check out this cool image!</img>’;
function stealCookies() {
const stolenCookies = document.cookie;
// Send stolen cookies to a remote server}Dans le code ci-dessus, la balise image contient un attribut onerror, qui déclenche l'exécution de la fonction stealCookies. Cette fonction s'empare des cookies de l'utilisateur et ouvre la voie à un accès non autorisé à des informations sensibles.Falsification des requêtes intersites (CSRF)Les attaques CSRF se produisent lorsqu'un attaquant incite le navigateur d'un utilisateur à effectuer une requête involontaire vers un site différent où l'utilisateur est authentifié. Cela peut conduire à l'exécution d'actions au nom de l'utilisateur sans son consentement.<html>
<form action=”https://website.com/update-email” method=”POST”>
<input type=”hidden” name=”email” value=”iamahacker@example.com”>
<input type=”submit” value=”Update Email”>
</form>
</html>Dans cet exemple, un utilisateur authentifié sur un site web peut, à son insu, soumettre un formulaire qui modifie son adresse électronique pour la remplacer par une adresse spécifiée par l'auteur de l'attaque. L'attaquant peut alors réinitialiser le mot de passe de ce compte en cliquant sur le lien Mot de passe oublié ? Le code de vérification sera envoyé à l'adresse électronique mise à jour de l'attaquant, qui pourra alors modifier le mot de passe et prendre le contrôle total du compte.Comment détecter les vulnérabilités open-source qui se cachent en ligne ?Pour détecter les vulnérabilités des logiciels libres :- Maintenez vos bibliothèques et frameworks open-source à jour. Vérifiez régulièrement l'existence de correctifs et de mises à jour de sécurité pour éliminer les vulnérabilités connues.
- Mettez en œuvre et appliquez une politique globale de sécurité du contenu (CSP) pour contrôler les sources des scripts et empêcher l'exécution de code non autorisé.
- Définir l'attribut de cookie SameSite = "Strict". L'attribut SameSite est chargé d'empêcher le transfert de données de cookies lors de requêtes interdomaines.
- Surveiller de près les sessions des utilisateurs et les activités sur le web à l'aide d'une solution de sécurité, telle qu'un SIEM, qui peut suivre et auditer les sessions des utilisateurs et les activités en ligne en temps réel. Log360, une solution SIEM de ManageEngine, peut être un complément indispensable à votre domaine de sécurité.

Vous pouvez essayer ces fonctionnalités dans votre environnement gratuitement en téléchargeant la version d'évaluation de 30 jours de Log360.
Source : Security warning! All of us are victims of open-source vulnerabilities by Shehnaaz N