Il y a quelques semaines, le produit auquel je contribue a été soumis à un audit de sécurité et un test d’intrusion de la part d’un client pour lequel la cybersécurité est un enjeux majeur.
Pas de suspense inutile, tout s’est bien passé. Les pentesters ont quand même relevé quelques vulnérabilités mineures, dont l’absence d’implémentation d’une protection contre les attaques de type CSRF. Stupeur dans l’équipe de développement, nous étions persuadés que notre utilisation des JWT (Json Web Token).
Nous étions convaincus que ce type d’attaques était depuis longtemps pris en charge quasiment nativement par Express avec une combinaison de JWT et de Same-Site Cookie flag, comme l’expliquait clairement Jon Lamendola dans Node Security (Medium) en 20161.
Peu certain de l’utilité de cette démarche, je me suis néanmoins attaché à implémenter une protection.
Notes
- Lamendola, J. Cross-Site Request Forgery Mitigation for Express.js Apps Made Easy Using The Same-Site Cookie Flag. Node Security, https://medium.com/node-security/cross-site-request-forgery-mitigation-for-express-js-apps-made-easy-using-the-same-site-cookie-flag-e19ee7d5b513 (2016). ↩︎
Laisser un commentaire