Alertes failles
de sécurité et
de mises à jour
Contribuer - Questionner
Faire un lien
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet
 

Assiste.com

cr  02.01.2017      r+  07.09.2022      r-  08.05.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

CSRF - Cross-Site Request Forgery

CSRF - Cross-Site Request Forgery      CSRF - Cross-Site Request Forgery      Index      CSRF - Cross-Site Request Forgery      CSRF - Cross-Site Request Forgery

Dossier (collection) : Acronymes, sigles et abréviations

Introduction
Liste

Malwarebytes et Kaspersky ou
Emsisoft (incluant Bitdefender)


Sommaire (montrer / masquer) 

CSRF - CSRF - Cross-Site Request Forgery CSRF - Cross-Site Request Forgery - 01 CSRF - Cross-Site Request Forgery top top

L'acronyme CSRF est utilisé pour : Cross-Site Request Forgery.




Aidez et soutenez Assiste – autorisez quelques publicités et cliquez dessus.


CSRF - CSRF : Description et notes




CSRF - CSRF : Description et notes CSRF : Description et notes - 02 CSRF : Description et notes

La « contrefaçon de requête intersites » (« cross-site request forgery »), également connue sous le nom d' « attaque en un clic » (« one-click attack ») ou « session riding » et abrégée en CSRF (parfois prononcé sea-surf) ou XSRF, est un type d'exploitation malveillante d'un site Web où des commandes non autorisées sont soumises par un utilisateur innocent, et à son insu, à l'application Web qui fait naturellement confiance en ses commandes. Une telle attaque exploite un type de vulnérabilité des services d'authentification web. Un site Web malveillant peut transmettre de telles commandes de plusieurs manières :

  • Les balises d'image spécialement conçues

  • Des formulaires cachés

  • Des scripts JavaScript XMLHttpRequests

  • Etc.

Ces commandes peuvent toutes fonctionner sans interaction avec l’utilisateur et sans la connaissance de l'utilisateur.

Contrairement aux scripts intersites (XSS), qui exploitent la confiance qu'un utilisateur a pour un site particulier, CSRF exploite la confiance qu'un site a dans le navigateur d'un utilisateur.

Dans l’objet de cette attaque CSRF, un utilisateur innocent, authentifié par le mécanisme d’authentification du site, est amené à son insu par un attaquant à soumettre une requête HTTP falsifiée qui pointe sur une action interne au site, qui sera donc exécutée sans se poser de question.

L’action interne sollicitée par l’attaquant peut entraîner :

  • Une fuite de données client

  • Une fuite de données serveur

  • Un changement d'état de session

  • Une manipulation du compte d'un utilisateur final

  • Etc.

CSRF est également utilisé comme abréviation dans les défenses contre les attaques CSRF, telles que les techniques qui utilisent des données d'en-tête, des données de formulaire ou des cookies, pour tester et empêcher de telles attaques.

Sources : Wikipedia en, Wikipedia fr

Session Riding : document PDF, 16 pages, anglais
https://crypto.stanford.edu/cs155old/cs155-spring08/papers/Session_Riding.pdf

CSRF Cross-Site Request Forgery (recherches avec google)
CSRF Cross-Site Request Forgery (recherches avec qwant)




Aidez et soutenez Assiste – autorisez quelques publicités et cliquez dessus.


CSRF - CSRF : Description et notes

CSRF - Autour de ce sujet dans Assiste CSRF - Autour de ce sujet dans Assiste Autour de ce sujet dans Assiste CSRF - Cross-Site Request Forgery


CSRF - CSRF - Cross-Site Request Forgery