Xss et injection sql:CSRF

From aldeid
Jump to: navigation, search
VoirAussi.png
You might also see: Cross Site Scripting

XSRF ou CSRF (Cross-Site Request Forgeries, sea-surfing)

Définition

Les attaques sites de type "Cross Site Request Forgeries" (aussi dites "sea-surfing"), abrégées XSRF ou CSRF, consistent à utiliser un utilisateur authentifié comme déclencheur d'une attaque. Ainsi, l'attaquant profite des privilèges de l'utilisateur authentifié (complice de l'attaque à son insu) pour lui faire exécuter un script dissimulé (dans une image par exemple).

Exemples d'une attaque CSRF

Un attaquant dissimule un script dans une image (avec JHead par exemple) puis demande à une utilisateur privilégié d'intégrer son image dans l'application, l'attaquant n'ayant lui-même pas les privilèges nécessaires pour réaliser cette opération. L'utilisateur privilégié intègre l'image et le serveur exécute le script qu'elle contient.

Csrf-001.png