8. Un cross-site request forgery est une injection de requête(s)
illégitime(s) par rebond.
Considérez n’importe quel individu pouvant tromper vos utilisateurs
en soumettant une requête à votre site. N’importe quel site ou autre
source HTML auxquels vos utilisateurs pourraient accéder.
Origine de la vulnérabilité
8
9. L’objet de l’attaque CSRF est de forcer des utilisateurs à exécuter une ou plusieurs
requêtes non désirées sur un site donné, forgées par un utilisateur malintentionné.
La victime choisie aura les privilèges nécessaires à l’exécution de la requête, voire
une session encore active.
Forger une requête reviens à créer / falsifier une requête HTTP (par le biais d’une
URL ou d’un formulaire principalement) pointant sur une action précise interne au
site et néfaste pour la victime.
Concrètement, une ressource vulnérable aux attaques CSRF est représentée par
toutes ressources disponibles directement ET sans étape intermédiaire (ex:
génération de clé/jeton d’autorisation d’accès) sur un SI.
Principe de la vulnérabilité
9
11. Les attaquants peuvent créer des pages web malicieuses qui génèrent des requêtes
forgées, qui ne sont pas distinguables des légitimes. La détection des CSRF est
assez facile via un test de pénétration ou analyse de code.
Détection de la vulnérabilité
11
12. Les attaquants peuvent faire exécuter n’importe quelle type de fonctionnalité
présente dans le SI, à laquelle la victime aurait accès.
Impacts
12
Le début du XXIe siècle est distingué par la prolifération et l’évolution rapide des réseaux ainsi que la multiplication des applications utilisées due à l’ouverture sur le réseau Internet.
Il est tout aussi vrai que l’évènement de la virtualisation et du cloud a révolutionné l’infrastructure réseau .
Ce pendant, cet évolution provoque une gamme croissante de risque pour la sécurité des réseaux et la protection des données.
En effet ,des centaines d’attaques de plus en plus sophistiquées et destructrices naissent tous les jours. Ce qui rend ces réseaux vulnérables et constituent la préoccupation majeure.
Parmis ces risques on trouve Les attaques de type cross-site request forgery (ou CSRF) qui sont mal connues et trop souvent non prises en compte par les développeurs de sites Internet