Parmi les enseignement du vers Myspace, il y a le fait que les protections traditionnelles contre les CSRF (cross-site request forgeries) sont rendues inopérantes par l'utilisation d'une XSS (cross-site scripting)...
JavaScript applique une politique de sécurité simple : le navigateur ne peut contacter que l'hôte d'origine pour les applications AJAX. Cela limite les effets de CSRF, et la possibilité d'utiliser...
Ceux qui croient encore que l'ajout d'un certificat SSL va les protéger efficacement vont devoir revoir leur copie. Les XSS (et surtout les CSRF) sont parfaitement capables d'utiliser le navigateur...
Jeremiah Grossman propose une conférence en ligne consacré aux CSRF. Il consacrera la session à démystifier les Cross-Site Request Forgery (CSRF), le Session Riding, les chevaux de Troy sur le...
Les CSRF sont des attaques qui s'appuient sur un utilisateur référencé sur un site Web pour faire passer des commandes. Le pirate ne connait pas le mot de passe utilisateur, mais prend la session de travail : contrairement aux XSS, les CSRF exploitent la confiance du site Web envers les utilisateurs identifiés.
Les CSRF sont plus rares, mais Chris Shiflett en signale une d'envergure : en 20 heures, samy a pu se faire référencer commer ami et 'héros' de près d'un million de personnes sur le site de myspace.
Les CSRF sont sous le microscope depuis quelques temps. Elles s'appuient sur un utilisateur avec des droits supérieurs pour lui faire exécuter des commandes à son insu. C'est une des...
De toutes les vulnérabilités affectant les applications Web, notamment celles écrites en PHP, Cross-Site Request Forgery (CSRF) et Cross-Site Scripting (XSS) sont les plus répandues. Dans de nombreux cas, les...
Régulièrement nous vous parlons des problèmes de la sécurité au niveau de PHP. Paul Reinheimer nous alerte sur un point qui se trouve souvent oublier...
La protection du CSRF
car la vérification de valeur d'un champ vide peut permettre la validation d'une étape même si ce n'est pas possible.
Donc un point supplémentaire à verrouiller et à protéger. Stop Messing up CSRF Protection (0 visite)
Les CSRF sont plutôt difficiles à contre carrer, puisqu'elles exploitent l'identitée d'un utilisateur dûment authentifié, et que le pirate n'est même pas en contact direct avec le site.
ThinkPHP vous...
Pour savoir quel est le type de navigateur qui est utilisé sur votre site Web, vous pouvez utiliser la variable $_SERVER['HTTP_USERAGENT'], qui contient la description du navigateur.
SI vous voulez avoir...
Et oui, c’est fait : les hackeurs spécialistes de la Wii ont réussi à pirater les jeux Virtual Console Wii sans utiliser la moindre modification matérielle (pas de puce, ni d’adaptateur gecko ou autre).
Avant d’aller plus loin, il faut savoir que cette nouvelle ne plait pas à tout le monde. Sans parler de Nintendo, certains [...]
Il y a peu de défense contre les CSRF, car c'est l'utilisateur innoncent qui exécute les commandes pour le pirate. Ce dernier ne passe jamais sur le site. Il existe quand même des techniques variées pour éviter le pire :
Identifiant de formulaire unique
Nom de page aléatoire
Identification
Casser les frames
Limiter la casse
Bonsoir!
Il y'a quelque temps ma compagne c'est fait pirater son adresse Hotmail, probablement pour utiliser son compte comme "compte fantome " envoyeur de spam ( questions, etc tout en chinois...) , et je me demandais si il y'a avait des webmail fiable et surtout bien securisé, car on peut trop facilement trouvé des solutions pour pirater les mail les plus courants( HOT,MSN etc).
je trouve ça tres embetant surtout quand on a des choses importantes: donc il est difficile de faire confiance au net,...
Gnu citizen relate cette anecdote : Bob ajouta l'image fred.com/image.jpg directement sur son blogue. Fred, qui gère fred.com, voit les références provenir du blogue de Bob, et utiliser cette...
Gnu citizen relate cette anecdote : Bob ajouta l'image fred.com/image.jpg directement sur son blogue. Fred, qui gère fred.com, voit les références prevenir du blogue de Bob, et utiliser cette image...