Comment l’entête de réponse HTTP Content-Security-Policy peut sauver votre soirée en amoureux.

Cette "présentation" est dans le prolongement de la présentation "Transformez votre navigateur en piège à pirate avec les en-têtes de sécurité http" faites à la session 2022 de VOXXED LU. Elle a pour objectif de faire découvrir l’entête de réponse HTTP Content-Security-Policy et, comment, il peut être utilisé pour réduire l’exploitabilité d’une vulnérabilité, de type injection HTML/JavaScript, de façon significative.Cette présentation ne requiert pas d’avoir vu celle de 2022. En effet, le but sera de poser un contexte où un test de sécurité remonte une vulnérabilité de type "injection JavaScript" (aussi appelé XSS et ici de type Stored) avec une criticité haute sur une application. L’application en question étant importante pour la société dans la mesure où elle permet aux clients de passer des commandes de produits. Le responsable sécurité et le responsable métier mettent la pression sur les équipes de développement et d’infrastructure dans le sens où le premier veut que l’on fixe la vulnérabilité au niveau du code vulnérable et le second ne veut pas d’un nouveau déploiement car on est en période de solde et donc, aucune indisponibilité ou nouveau bug ne doit venir perturber les clients. La présentation montera, au travers de différent étapes successives, comment on peut utiliser l’entête de réponse HTTP Content-Security-Policy pour rendre la vulnérabilité difficile à exploiter.