Académique Documents
Professionnel Documents
Culture Documents
org/wiki/Cross-site_request_forgery
Sommaire
1 Illustration
2 Caractéristiques
3 Prévention
4 Voir aussi
5 Lien externe
Illustration
Supposons que Bob soit l'administrateur d'un forum et qu'il soit connecté à celui-ci par un système de
sessions. Alice est un membre de ce même forum, elle veut supprimer un des messages du forum. Comme
elle n'a pas les droits nécessaires avec son compte, elle utilise celui de Bob grâce à une attaque de type
CSRF.
Caractéristiques
Les caractéristiques du CSRF sont un type d'attaque qui :
Pour résumer, les sites sensibles au CSRF sont ceux qui acceptent les actions sur le simple fait de
l'authentification à un instant donné de l'utilisateur et non sur une autorisation explicite de l'utilisateur pour
une action donnée.
Prévention
Éviter d'utiliser des requêtes HTTP GET pour effectuer des actions
Cette technique va naturellement éliminer des attaques simples basées sur les images, mais laissera
passer les attaques fondées sur Javascript, lesquelles sont capables de lancer des requêtes HTTP
POST.
Demander des confirmations à l'utilisateur pour les actions critiques
Au risque d'alourdir l'enchaînement des formulaires.
Utiliser des jetons de validité dans les formulaires
Faire en sorte qu'un formulaire posté ne soit accepté que s'il a été produit quelques minutes
auparavant : le jeton de validité en sera la preuve. Le jeton de validité doit être transmis en paramètre
et vérifié côté serveur.
Voir aussi
Vulnérabilité (informatique)
XSS
Cross-site cooking
Lien externe
(fr) Introduction aux Cross-Site request forgeries (http://www.apprendre-php.com/tutoriels/tutoriel-
39-introduction-aux-cross-site-request-forgeries-ou-sea-surf.html)
(fr) JDN Développeurs (http://developpeur.journaldunet.com/tutoriel/php/031030php_nexen-xss1.shtml)
(fr) Papier sur la vulnérabilité de certaines BOX françaises aux attaques CSRF
(http://www.rahimblakblog.fr/wp-content/uploads/2008/03/box1.pdf)
(en) The cross-site request forgery FAQ (http://www.cgisecurity.com/articles/csrf-faq.shtml)
(fr) CSRForm - Outil d'aide à l'exploitation de failles de type CSRF (http://code.google.com/p/csrform/)