Skip to main content

Hedis - Scan sécurité Avril 2025

aednet.fr

 

bhe-hedis.fr

Vulnerability - Path Disclosure

Predictable Resource Location Via Forced Browsing (last time detected/tested 28 Mars 2025)

Concerne des fichiers/dossiers trouvés en crawlant le site, c'est "dangereux" que si le lien (disons la page) en question comporte des informations sensibles, pour bhe-hedis, ce n'est pas le cas. Ce qui est affiché est normalement public et/ou souhaité par la société.

Vulnerability - Information Disclosure

Clickjacking - Framable page (last time detected/tested 25 Octobre 2024)

Pour bhe-hedis, j'ai vérifié les dates et dans ce qui est noté dans le PDF, pas de nouveau tests depuis la date écrite ci-dessus, donc normalement c'est OK de notre côté (il fallait appliquer une Content Security Policy self-ancestor quelque chose de mémoire en entête HTTP du site/des pages). Je ne sais pas pourquoi les alertes sont toujours notées comme "actives".

 

Use of JavaScript Library With Known Vulnerability (last time detected/tested 28 Mars 2025)

En effet, Jquery est en version 2.2.4 et apparemment les versions au-dessus de 2.2.2 et en-dessous de 3.0.0 ont beaucoup de failles XSS. Donc il faut patcher.

Pareil pour la seconde librairie concernée, bootstrap JS qui est en version 3.3.7 et il faut au moins la 3.4.1 pour également éviter du XSS.

 

Reverse Tabnapping (last time detected/tested 28 Mars 2025)

Menace : Reverse Tabnabbing is an attack where the target page is replaced by phishing site. This is possible when target="_blank" is in use with rel="noopener" or rel="noreferrer", attacker can use JavaScript window.opener and inject malicious domain in it. When user clicks on html link, they will get redirected to phishing or unintentional website.
WAS detects this vulnerability during crawling and evaluates HTML links embedded in anchor tags.

Impact : The user may be redirected to an untrusted page that contains undesired content or malicious script code.

Solution :
1. Use either of these attributes rel="noreferrer" or rel="noopener".
2. Implement Cross Origin Opener Policy header.

En gros, en fouillant le HTML, là où il y a un target=_blank, généralement sur une balise a href/a target, il faut rajouter une balise en plus ou bien (voir si ça fonctionne tout seul) mettre en place une COOP (Cross Origin Opener Policy) qui est une entête HTTP (https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Cross-Origin-Opener-Policy)

daugeron.fr

fichot-hygiene.fr

ica-hygiene.com

sas-blanc.com

sodiscol.fr

www.gama29.fr

www.groupe-hedis.com

www.nicolasentretien.fr

www.orru-hedis.fr

www.sopecal-hygiene.com

 

Back to top