OWASP WebGoat:Cross Site Request Forgery

From aldeid
Jump to navigation Jump to search

Cross Site Request Forgery

Cet exercice a pour objectif de vous présenter une variante de Cross Site Scripting (XSS) : il s'agit du Cross Site Request Forgeries (CSRF ou XSRF).

Le principe est généralement le suivant : un attaquant envoie un mail qui contient une image passant inaperçue (taille de 1x1px). La source de cette image correspond à un lien vers un script distant.

Dans notre exemple, il suffit d'ajouter à un texte une image qui prend sa source vers l'adresse de l'exercice. Dans cet appel, nous ajoutons un paramètre transferFund afin de simuler une action néfaste.