OWASP WebGoat:Cross Site Request Forgery

From aldeid
Revision as of 17:25, 19 September 2010 by Admin (talk | contribs) (Text replace - "[[Fichier:" to "[[File:")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

Cross Site Request Forgery

Cet exercice a pour objectif de vous présenter une variante de Cross Site Scripting (XSS) : il s'agit du Cross Site Request Forgeries (CSRF ou XSRF).

Le principe est généralement le suivant : un attaquant envoie un mail qui contient une image passant inaperçue (taille de 1x1px). La source de cette image correspond à un lien vers un script distant.

Dans notre exemple, il suffit d'ajouter à un texte une image qui prend sa source vers l'adresse de l'exercice. Dans cet appel, nous ajoutons un paramètre transferFund afin de simuler une action néfaste.

Retrieved from "https://www.aldeid.com/w/index.php?title=OWASP_WebGoat:Cross_Site_Request_Forgery&oldid=8568"