XSRF ou CSRF (Cross-Site Request Forgeries, sea-surfing)

Définition

Les attaques sites de type "Cross Site Request Forgeries" (aussi dites "sea-surfing"), abrégées XSRF ou CSRF, consistent à utiliser un utilisateur authentifié comme déclencheur d'une attaque. Ainsi, l'attaquant profite des privilèges de l'utilisateur authentifié (complice de l'attaque à son insu) pour lui faire exécuter un script dissimulé (dans une image par exemple).

Exemples d'une attaque CSRF

OWASP WebGoat, injection de code en modifiant la source d'une image
CSRF par injection de code dans une image :

Un attaquant dissimule un script dans une image (avec JHead par exemple) puis demande à une utilisateur privilégié d'intégrer son image dans l'application, l'attaquant n'ayant lui-même pas les privilèges nécessaires pour réaliser cette opération. L'utilisateur privilégié intègre l'image et le serveur exécute le script qu'elle contient.

Récupérée de « http://www.aldeid.com/index.php/Xss_et_injection_sql:CSRF »

Xss et injection sql:CSRF

Affichages

XSRF ou CSRF (Cross-Site Request Forgeries, sea-surfing)

Définition

Exemples d'une attaque CSRF

Sécurité

Divers

Rechercher

Boîte à outils

Outils personnels