Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

CSRF - Cross-Site Request Forgery

CSRF - Cross-Site Request Forgery

02.01.2017 - Révision 22.12.2020 - Révision mineure 20.10.2021. Auteur : Pierre Pinard.

L'acronyme CSRF est utilisé pour : Cross-Site Request Forgery

CSRF - CSRF - Description et notes

La « contrefaçon de requête intersites » (« cross-site request forgery »), également connue sous le nom d' « attaque en un clic » (« one-click attack ») ou « session riding » et abrégée en CSRF (parfois prononcé sea-surf) ou XSRF, est un type d'exploitation malveillante d'un site Web où des commandes non autorisées sont soumises par un utilisateur innocent, et à son insu, à l'application Web qui fait naturellement confiance en ses commandes. Une telle attaque exploite un type de vulnérabilité des services d'authentification web. Un site Web malveillant peut transmettre de telles commandes de plusieurs manières :

  • Les balises d'image spécialement conçues

  • Des formulaires cachés

  • Des scripts JavaScript XMLHttpRequests

  • Etc.

Ces commandes peuvent toutes fonctionner sans interaction avec l’utilisateur et sans la connaissance de l'utilisateur.

Contrairement aux scripts intersites (XSS), qui exploitent la confiance qu'un utilisateur a pour un site particulier, CSRF exploite la confiance qu'un site a dans le navigateur d'un utilisateur.

Dans l’objet de cette attaque CSRF, un utilisateur innocent, authentifié par le mécanisme d’authentification du site, est amené à son insu par un attaquant à soumettre une requête HTTP falsifiée qui pointe sur une action interne au site, qui sera donc exécutée sans se poser de question.

L’action interne sollicitée par l’attaquant peut entraîner :

  • Une fuite de données client

  • Une fuite de données serveur

  • Un changement d'état de session

  • Une manipulation du compte d'un utilisateur final

  • Etc.

CSRF est également utilisé comme abréviation dans les défenses contre les attaques CSRF, telles que les techniques qui utilisent des données d'en-tête, des données de formulaire ou des cookies, pour tester et empêcher de telles attaques.

Sources : Wikipedia en, Wikipedia fr

Session Riding : document PDF, 16 pages, anglais
https://crypto.stanford.edu/cs155old/cs155-spring08/papers/Session_Riding.pdf

Ressources éventuelles Wikipedia français : CSRF
Ressources éventuelles Wikipedia anglais : CSRF

Ressources éventuelles Wikipedia français : Cross-Site Request Forgery
Ressources éventuelles Wikipedia anglais : Cross-Site Request Forgery

Ressources éventuelles Wikipedia français : CSRF Cross-Site Request Forgery
Ressources éventuelles Wikipedia anglais : CSRF Cross-Site Request Forgery

Quelques services de recherches d'acronymes sur le Web. Accès aux archives du Web pour les services n'existant plus (mise à jour du 06/03/2021).





CSRF - Ressources


# Ailleurs sur le Web #

  1. #CSRF#

  2. #CSRF Cross-Site Request Forgery#

  3. #Acronyme CSRF#

  4. #Cross-Site Request Forgery#