Abstract
Cet article présente un état de l'art des attaques de type Cross-Site Request Forgery et les nouvelles techniques pouvant être utilisées par des attaquants pour les réaliser de façon efficace. Plusieurs scénarios d'attaque sur des applications Web grand public sont expliqués ainsi qu'une vulnérabilité, présente dans la plupart des navigateurs Web récents. Cette vulnérabilité permet de réaliser des attaques de type Cross-Site Request Forgery efficaces à l'aide de l'objet XMLHttpRequest. De plus, une technique inédite, permettant d'assurer la persistance du code hostile sur la machine, même après la fermeture de la fenêtre du navigateur est présentée. Enfin, les meilleures solutions pour se prémunir de ces attaques sont discutées pour permettre à chacun (utilisateurs, développeurs de navigateurs ou d'applications Web, responsables de la sécurité des systèmes d'informations dans une organisation, etc...) de contribuer à l'éradication de cette menace.
Introduction
Cross Site Request Forgery attacks
- A basic scenario
- A dangerous attack
- An underrated attack
Evolution of attacks on recent Web browsers
- The historical attacks using GET and POST: more efficient with Javascript
- Attacks using browser plugins
- XMLHttpRequest: new opportunities for CSRF attacks
Practical CSRF attacks
- Dynamic contrôle of CSRF attacks: presentation of CSRF-proxy
- Problematique of storing hostile code
Protection against CSRF attacks
- Users sensitization
- Strengthening browsers
- Threats assessement in Web applications
Conclusion
![[Presentation]](/gif/icone.supports.png){kind=small}
]
![[Article]](/gif/icone.articles.png){kind=small}
![[Tip]](/gif/icone.breves.png){kind=small}
![[Tool]](/gif/icone.outils.png){kind=small}
]