Csrf

•Télécharger en tant que PPTX, PDF•

1 j'aime•408 vues

Slim Hammami

présentation de la faille CSRF

Internet

Réalisé par : Slim HAMMAMI
Module : Sécurité informatique
Année Universitaire: 2015 /2016

PLAN
Introduction
Consequences d’une attaque bassée sur CSRF
Démonstration
Correction de la solution
Présentation de la vulnérabilité CSRF
2

 Un cross-site request forgery est une injection de requête(s)
illégitime(s) par rebond.
 Considérez n’importe quel individu pouvant tromper vos utilisateurs
en soumettant une requête à votre site. N’importe quel site ou autre
source HTML auxquels vos utilisateurs pourraient accéder.
Origine de la vulnérabilité
8

L’objet de l’attaque CSRF est de forcer des utilisateurs à exécuter une ou plusieurs
requêtes non désirées sur un site donné, forgées par un utilisateur malintentionné.
La victime choisie aura les privilèges nécessaires à l’exécution de la requête, voire
une session encore active.
Forger une requête reviens à créer / falsifier une requête HTTP (par le biais d’une
URL ou d’un formulaire principalement) pointant sur une action précise interne au
site et néfaste pour la victime.
Concrètement, une ressource vulnérable aux attaques CSRF est représentée par
toutes ressources disponibles directement ET sans étape intermédiaire (ex:
génération de clé/jeton d’autorisation d’accès) sur un SI.
Principe de la vulnérabilité
9

Les attaquants peuvent créer des pages web malicieuses qui génèrent des requêtes
forgées, qui ne sont pas distinguables des légitimes. La détection des CSRF est
assez facile via un test de pénétration ou analyse de code.
Détection de la vulnérabilité
11

Les attaquants peuvent faire exécuter n’importe quelle type de fonctionnalité
présente dans le SI, à laquelle la victime aurait accès.
Impacts
12

14
Démonstration
http://www.monsite.tn/del.php?id=1
Supposons que cette url est utilisé pour la suppression d’un article
<a href=‘http://www.monsite.tn/del.php?id=1 ‘>
Consulter nos offres</a>

Comment se protéger
18
Génération jeton CSRF
http://www.monsite.tn/del.php?id=1&jeton=b6cf20590a57f4685c9bdc6c53d12ff8
b6cf20590a57f4685c9bdc6c53d12ff8

Recommandé

Stateless Anti-Csrfjohnwilander

Introduction to CSRF Attacks & DefenseSurya Subhash

Securty 101Navneet kumar

Application mobile pour chaine de restaurantsatcharge

Mobi restoSlim Hammami

Introduction d'une nouvelle application mobile pour Quick Restaurant. Elaine Lorent

Mon Projet Fin d'étude: Conception et développement d'une application de géol...rim elaire

Ma présentation PFE : Application Android & Site WebHarrathi Mohamed

Recommandé

Stateless Anti-Csrfjohnwilander

Introduction to CSRF Attacks & DefenseSurya Subhash

Securty 101Navneet kumar

Application mobile pour chaine de restaurantsatcharge

Mobi restoSlim Hammami

Introduction d'une nouvelle application mobile pour Quick Restaurant. Elaine Lorent

Mon Projet Fin d'étude: Conception et développement d'une application de géol...rim elaire

Ma présentation PFE : Application Android & Site WebHarrathi Mohamed

2024 State of Marketing Report – by HubspotMarius Sescu

Everything You Need To Know About ChatGPTExpeed Software

Product Design Trends in 2024 | Teenage EngineeringsPixeldarts

How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow

AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork

Skeleton Culture CodeSkeleton Technologies

PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley

Content Methodology: A Best Practices Report (Webinar)contently

How to Prepare For a Successful Job Search for 2024Albert Qian

Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)

Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal

5 Public speaking tips from TED - Visualized summarySpeakerHub

ChatGPT and the Future of Work - Clark Boyd Clark Boyd

Getting into the tech field. what next Tessa Mero

Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray

How to have difficult conversations Rajiv Jayarajah, MAppComm, ACC

Introduction to Data ScienceChristy Abraham Joy

Time Management & Productivity - Best PracticesVit Horky

The six step guide to practical project managementMindGenius

Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36

Contenu connexe

En vedette

2024 State of Marketing Report – by HubspotMarius Sescu

Everything You Need To Know About ChatGPTExpeed Software

Product Design Trends in 2024 | Teenage EngineeringsPixeldarts

How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow

AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork

Skeleton Culture CodeSkeleton Technologies

PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley

Content Methodology: A Best Practices Report (Webinar)contently

How to Prepare For a Successful Job Search for 2024Albert Qian

Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)

Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal

5 Public speaking tips from TED - Visualized summarySpeakerHub

ChatGPT and the Future of Work - Clark Boyd Clark Boyd

Getting into the tech field. what next Tessa Mero

Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray

How to have difficult conversations Rajiv Jayarajah, MAppComm, ACC

Introduction to Data ScienceChristy Abraham Joy

Time Management & Productivity - Best PracticesVit Horky

The six step guide to practical project managementMindGenius

Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36

En vedette (20)

2024 State of Marketing Report – by Hubspot

Everything You Need To Know About ChatGPT

Product Design Trends in 2024 | Teenage Engineerings

How Race, Age and Gender Shape Attitudes Towards Mental Health

AI Trends in Creative Operations 2024 by Artwork Flow.pdf

Skeleton Culture Code

PEPSICO Presentation to CAGNY Conference Feb 2024

Content Methodology: A Best Practices Report (Webinar)

How to Prepare For a Successful Job Search for 2024

Social Media Marketing Trends 2024 // The Global Indie Insights

Trends In Paid Search: Navigating The Digital Landscape In 2024

5 Public speaking tips from TED - Visualized summary

ChatGPT and the Future of Work - Clark Boyd

Getting into the tech field. what next

Google's Just Not That Into You: Understanding Core Updates & Search Intent

How to have difficult conversations

Introduction to Data Science

Time Management & Productivity - Best Practices

The six step guide to practical project management

Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...

Csrf

1. Réalisé par : Slim HAMMAMI Module : Sécurité informatique Année Universitaire: 2015 /2016

2. PLAN Introduction Consequences d’une attaque bassée sur CSRF Démonstration Correction de la solution Présentation de la vulnérabilité CSRF 2

7. 7 Présentation de la vulnérabilité CSRF

8.  Un cross-site request forgery est une injection de requête(s) illégitime(s) par rebond.  Considérez n’importe quel individu pouvant tromper vos utilisateurs en soumettant une requête à votre site. N’importe quel site ou autre source HTML auxquels vos utilisateurs pourraient accéder. Origine de la vulnérabilité 8

9. L’objet de l’attaque CSRF est de forcer des utilisateurs à exécuter une ou plusieurs requêtes non désirées sur un site donné, forgées par un utilisateur malintentionné. La victime choisie aura les privilèges nécessaires à l’exécution de la requête, voire une session encore active. Forger une requête reviens à créer / falsifier une requête HTTP (par le biais d’une URL ou d’un formulaire principalement) pointant sur une action précise interne au site et néfaste pour la victime. Concrètement, une ressource vulnérable aux attaques CSRF est représentée par toutes ressources disponibles directement ET sans étape intermédiaire (ex: génération de clé/jeton d’autorisation d’accès) sur un SI. Principe de la vulnérabilité 9

10. Principe de la vulnérabilité 10

11. Les attaquants peuvent créer des pages web malicieuses qui génèrent des requêtes forgées, qui ne sont pas distinguables des légitimes. La détection des CSRF est assez facile via un test de pénétration ou analyse de code. Détection de la vulnérabilité 11

12. Les attaquants peuvent faire exécuter n’importe quelle type de fonctionnalité présente dans le SI, à laquelle la victime aurait accès. Impacts 12

13. PLAN 1313 Démonstration

14. 14 Démonstration http://www.monsite.tn/del.php?id=1 Supposons que cette url est utilisé pour la suppression d’un article <a href=‘http://www.monsite.tn/del.php?id=1 ‘> Consulter nos offres</a>

15. PLAN 1515 Correction de la solution

16. Comment se protéger 16

17. Comment se protéger 17

18. Comment se protéger 18 Génération jeton CSRF http://www.monsite.tn/del.php?id=1&jeton=b6cf20590a57f4685c9bdc6c53d12ff8 b6cf20590a57f4685c9bdc6c53d12ff8

19. Merci pour votre attention

20. 20 Q&R ?

Notes de l'éditeur

Le début du XXIe siècle est distingué par la prolifération et l’évolution rapide des réseaux ainsi que la multiplication des applications utilisées due à l’ouverture sur le réseau Internet. Il est tout aussi vrai que l’évènement de la virtualisation et du cloud a révolutionné l’infrastructure réseau .
Ce pendant, cet évolution provoque une gamme croissante de risque pour la sécurité des réseaux et la protection des données. En effet ,des centaines d’attaques de plus en plus sophistiquées et destructrices naissent tous les jours. Ce qui rend ces réseaux vulnérables et constituent la préoccupation majeure.
Parmis ces risques on trouve Les attaques de type cross-site request forgery (ou CSRF) qui sont mal connues et trop souvent non prises en compte par les développeurs de sites Internet