[rt-users] Attaque de type CSRF possible
Emmanuel Lacour
elacour at easter-eggs.com
Fri Jan 15 09:21:40 EST 2016
Le 13/01/2016 10:00, wajdi a écrit :
>
> Hi,
>
hi,
>
> Attaque de type CSRF possible
>
> RT a détecté qu'une attaque de type *CSRF* était possible pour cette
> requête, en raison de L'en-tête "Referrer" envoyée par votre navigateur
> (x.x.x.x:80) n'est pas autorisé par la configuration de RT
> (127.0.0.1:80). Un attaquant malicieux et peut-être en train d'essayer
> de *mettre à jour un ticket* à votre place.Si vous n'êtes pas à
> l'origine de cette requête, alors vous devriez alerter votre responsable
> sécurité.
>
> Si vous souhaitiez vraiment visiter /Ticket/Update.html et mettre à jour
> un ticket, alors *cliquez ici pour poursuivre votre demande
> <http://196.203.79.151/Ticket/Update.html?CSRF_Token=5c28faf2f4a7bbb5e016ef3e3dc31a7a>*.
>
> Notice : i use rt4.2.12
>
> Please help me, how can i resolve this error.
>
>
You acceded to your RT with url http://196.203.79.151/ but you're RT
configuration as another $WebDomain set (127.0.0.1).
you should acces using the ocnfigured web domain or set
$ReferrerWhitelist or disable CRSF protection.
Explained in details here:
https://bestpractical.com/docs/rt/4.2/RT_Config.html#Extra-security
(RestrictReferrer and ReferrerWhitelist)
--
Easter-eggs Spécialiste GNU/Linux
44-46 rue de l'Ouest - 75014 Paris - France - Métro Gaité
Phone: +33 (0) 1 43 35 00 37 - Fax: +33 (0) 1 43 35 00 76
mailto:elacour at easter-eggs.com - http://www.easter-eggs.com
More information about the rt-users
mailing list