XSRF

XSRF

Cross-site request forgery

Les attaques de type Cross-Site request forgeries (abrégées CSRF prononcées sea-surfing ou parfois XSRF) utilisent l'utilisateur comme déclencheur, celui-ci devient complice sans en être conscient. L'attaque étant actionnée par l'utilisateur, un grand nombre de systèmes d'authentification sont contournés. Le nombre de sites se protégeant contre ce type d'attaque est encore marginal, faute de communication sur ce type d'attaque probablement.[réf. souhaitée]

Sommaire

Illustration

Supposons que Bob soit l'administrateur d'un forum et qu'il soit connecté à celui-ci par un système de sessions. Alice est un membre de ce même forum, elle veut supprimer un des messages du forum. Comme elle n'a pas les droits nécessaires avec son compte, elle utilise celui de Bob grâce à une attaque de type CSRF.

  • Alice arrive à connaître le lien qui permet de supprimer le message en question
  • Alice envoie un message à Bob contenant une pseudo-image à afficher (qui est en fait un script). L'URL de l'image est le lien vers le script permettant de supprimer le message désiré.
  • Bob lit le message d'Alice, son navigateur tente de récupérer le contenu de l'image. En faisant cela, le navigateur actionne le lien et supprime le message, il récupère une page web comme contenu pour l'image. Ne reconnaissant pas le type d'image associé, il n'affiche pas d'image et Bob ne sait pas qu'Alice vient de lui faire supprimer un message contre son gré.

Caractéristiques

Les caractéristiques du CSRF sont un type d'attaque qui :

  • Implique un site qui repose sur l'authentification globale d'un utilisateur
  • Exploite cette confiance dans l'authentification pour autoriser des actions implicitement
  • Envoie des requêtes HTTP à l'insu de l'utilisateur qui est dupé pour déclencher ces actions

Pour résumer, les sites sensibles au CSRF sont ceux qui acceptent les actions sur le simple fait de l'authentification à un instant donné de l'utilisateur et non sur une autorisation explicite de l'utilisateur pour une action donnée.

Prévention

Éviter d'utiliser des requêtes HTTP GET pour effectuer des actions 
Cette technique va naturellement éliminer des attaques simples basées sur les images, mais laissera passer les attaques fondées sur Javascript, lesquelles sont capables de lancer des requêtes HTTP POST.
Demander des confirmations à l'utilisateur pour les actions critiques 
Au risque d'alourdir l'enchaînement des formulaires.
Vérifier l'adresse url du script appelant (referrer) 
Au risque d'alourdir le développement des formulaires.
Utiliser des jetons de validité dans les formulaires 
Faire en sorte qu'un formulaire posté ne soit accepté que s'il a été produit quelques minutes auparavant : le jeton de validité en sera la preuve. Le jeton de validité doit être transmis en paramètre et vérifié côté serveur.

Voir aussi

Lien externe

  • Portail de la sécurité informatique Portail de la sécurité informatique
Ce document provient de « Cross-site request forgery ».

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article XSRF de Wikipédia en français (auteurs)

Игры ⚽ Поможем сделать НИР

Regardez d'autres dictionnaires:

  • XSRF — (англ. Сross Site Request Forgery  «Подделка межсайтовых запросов»)  вид атак на посетителей веб сайтов, использующий недостатки протокола авторизована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого либо… …   Википедия

  • XSRF — Eine Cross Site Request Forgery (zu deutsch etwa „Site übergreifende Aufruf Manipulation“, meist XSRF oder CSRF abgekürzt) ist ein Angriff auf ein Computersystem, bei dem der Angreifer unberechtigt Daten in einer Webanwendung verändert. Er… …   Deutsch Wikipedia

  • JavaScript — Infobox programming language name = JavaScript paradigm = Multi paradigm: prototype based, functional, imperative, scripting year = 1995 designer = Brendan Eich developer = Netscape Communications Corporation, Mozilla Foundation latest release… …   Wikipedia

  • Cross-site scripting — (XSS) is a type of computer security vulnerability typically found in Web applications that enables attackers to inject client side script into Web pages viewed by other users. A cross site scripting vulnerability may be used by attackers to… …   Wikipedia

  • Подделка межсайтовых запросов — CSRF (англ. Сross Site Request Forgery  «Подделка межсайтовых запросов», также известен как XSRF)  вид атак на посетителей веб сайтов, использующий недостатки протокола HTTP. Если жертва …   Википедия

  • Cross-site request forgery — Cross site request forgery, also known as a one click attack or session riding and abbreviated as CSRF (pronounced sea surf[1]) or XSRF, is a type of malicious exploit of a website whereby unauthorized commands are transmitted from a user that… …   Wikipedia

  • JSON — infobox file format mime = application/json extension = .json genre = Data interchange standard = RFC 4627JSON (pronEng|ˈdʒeɪsɒn, i.e., Jason ), short for JavaScript Object Notation, is a lightweight computer data interchange format. It is a text …   Wikipedia

  • Same origin policy — In computing, the same origin policy is an important security measure for client side scripting (mostly JavaScript). The policy dates from Netscape Navigator 2.0, with necessary coverage fixes in Navigator 2.01 and Navigator 2.02. It prevents a… …   Wikipedia

  • CSRF — Eine Cross Site Request Forgery (zu deutsch etwa „Site übergreifende Aufruf Manipulation“, meist XSRF oder CSRF abgekürzt) ist ein Angriff auf ein Computersystem, bei dem der Angreifer unberechtigt Daten in einer Webanwendung verändert. Er… …   Deutsch Wikipedia

  • Cross-Site Request Forgery — Eine Cross Site Request Forgery (auf Deutsch etwa „Seiten übergreifende Aufruf Manipulation“, meist CSRF oder XSRF abgekürzt) ist ein Angriff auf ein Computersystem, bei dem der Angreifer eine Transaktion in einer Webanwendung durchführt. Dies… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”