Les CSRF sont plutôt difficiles à contre carrer, puisqu'elles exploitent l'identitée d'un utilisateur dûment authentifié, et que le pirate n'est même pas en contact direct avec le site.
ThinkPHP vous...
Régulièrement nous vous parlons des problèmes de la sécurité au niveau de PHP. Paul Reinheimer nous alerte sur un point qui se trouve souvent oublier...
La protection du CSRF
car la vérification de valeur d'un champ vide peut permettre la validation d'une étape même si ce n'est pas possible.
Donc un point supplémentaire à verrouiller et à protéger. Stop Messing up CSRF Protection (0 visite)
Jeremiah Grossman propose une conférence en ligne consacré aux CSRF. Il consacrera la session à démystifier les Cross-Site Request Forgery (CSRF), le Session Riding, les chevaux de Troy sur le...
Les CSRF sont des attaques qui s'appuient sur un utilisateur référencé sur un site Web pour faire passer des commandes. Le pirate ne connait pas le mot de passe utilisateur, mais prend la session de travail : contrairement aux XSS, les CSRF exploitent la confiance du site Web envers les utilisateurs identifiés.
Les CSRF sont plus rares, mais Chris Shiflett en signale une d'envergure : en 20 heures, samy a pu se faire référencer commer ami et 'héros' de près d'un million de personnes sur le site de myspace.
Les CSRF sont sous le microscope depuis quelques temps. Elles s'appuient sur un utilisateur avec des droits supérieurs pour lui faire exécuter des commandes à son insu. C'est une des...
De toutes les vulnérabilités affectant les applications Web, notamment celles écrites en PHP, Cross-Site Request Forgery (CSRF) et Cross-Site Scripting (XSS) sont les plus répandues. Dans de nombreux cas, les...
Parmi les enseignement du vers Myspace, il y a le fait que les protections traditionnelles contre les CSRF (cross-site request forgeries) sont rendues inopérantes par l'utilisation d'une XSS (cross-site scripting)...
Ceux qui croient encore que l'ajout d'un certificat SSL va les protéger efficacement vont devoir revoir leur copie. Les XSS (et surtout les CSRF) sont parfaitement capables d'utiliser le navigateur...
Templora publie un article récapitulatif des points de sécurité de base en PHP. On trouve notamment : Injections SQL, XSS, CSRF, Injections de variables et validation des données.
Le dernier...
Il y a peu de défense contre les CSRF, car c'est l'utilisateur innoncent qui exécute les commandes pour le pirate. Ce dernier ne passe jamais sur le site. Il existe quand même des techniques variées pour éviter le pire :
Identifiant de formulaire unique
Nom de page aléatoire
Identification
Casser les frames
Limiter la casse
La technologie WEP ayant montré des signes de faiblesse, le WPA restait le dernier rempart contre les tentatives de piratage. Pourtant des chercheurs on montré que cette deuxième méthode n'était pas si sure.
La technologie WEP ayant montré des signes de faiblesse, le WPA restait le dernier rempart contre les tentatives de piratage. Pourtant des chercheurs on montré que cette deuxième méthode n'était pas si sure.
La duplication de contenus est un problème récurrent, à la fois pour les référenceurs, mais aussi pour les moteurs et indirectement les utilisateurs. Voici 4 points à mémoriser pour se protéger du mieux possible contre ce vilain fléau :
Développer la popularité de son domaine : faites en sorte que votre domaine devienne une référence pour [...]
La technologie WEP ayant montré des signes de faiblesse, le WPA restait le dernier rempart contre les tentatives de piratage. Pourtant des chercheurs on montré que cette deuxième méthode n'était pas si sure.
La technologie WEP ayant montré des signes de faiblesse, le WPA restait le dernier rempart contre les tentatives de piratage. Pourtant des chercheurs on montré que cette deuxième méthode n'était pas si sure.
