Xss et injection sql:CSRF
Jump to navigation
Jump to search
XSRF ou CSRF (Cross-Site Request Forgeries, sea-surfing)
Définition
Les attaques sites de type "Cross Site Request Forgeries" (aussi dites "sea-surfing"), abrégées XSRF ou CSRF, consistent à utiliser un utilisateur authentifié comme déclencheur d'une attaque. Ainsi, l'attaquant profite des privilèges de l'utilisateur authentifié (complice de l'attaque à son insu) pour lui faire exécuter un script dissimulé (dans une image par exemple).
Exemples d'une attaque CSRF
- OWASP WebGoat, injection de code en modifiant la source d'une image
- CSRF par injection de code dans une image :
Un attaquant dissimule un script dans une image (avec JHead par exemple) puis demande à une utilisateur privilégié d'intégrer son image dans l'application, l'attaquant n'ayant lui-même pas les privilèges nécessaires pour réaliser cette opération. L'utilisateur privilégié intègre l'image et le serveur exécute le script qu'elle contient.
