Les CSRF sont sous le microscope depuis quelques temps. Elles s'appuient sur un utilisateur avec des droits supérieurs pour lui faire exécuter des commandes à son insu. C'est une des...
Les CSRF sont des attaques qui s'appuient sur un utilisateur référencé sur un site Web pour faire passer des commandes. Le pirate ne connait pas le mot de passe utilisateur, mais prend la session de travail : contrairement aux XSS, les CSRF exploitent la confiance du site Web envers les utilisateurs identifiés.
Les CSRF sont plus rares, mais Chris Shiflett en signale une d'envergure : en 20 heures, samy a pu se faire référencer commer ami et 'héros' de près d'un million de personnes sur le site de myspace.
Jeremiah Grossman propose une conférence en ligne consacré aux CSRF. Il consacrera la session à démystifier les Cross-Site Request Forgery (CSRF), le Session Riding, les chevaux de Troy sur le...
Les CSRF sont plutôt difficiles à contre carrer, puisqu'elles exploitent l'identitée d'un utilisateur dûment authentifié, et que le pirate n'est même pas en contact direct avec le site.
ThinkPHP vous...
Il y a peu de défense contre les CSRF, car c'est l'utilisateur innoncent qui exécute les commandes pour le pirate. Ce dernier ne passe jamais sur le site. Il existe quand même des techniques variées pour éviter le pire :
Identifiant de formulaire unique
Nom de page aléatoire
Identification
Casser les frames
Limiter la casse
De toutes les vulnérabilités affectant les applications Web, notamment celles écrites en PHP, Cross-Site Request Forgery (CSRF) et Cross-Site Scripting (XSS) sont les plus répandues. Dans de nombreux cas, les...
Régulièrement nous vous parlons des problèmes de la sécurité au niveau de PHP. Paul Reinheimer nous alerte sur un point qui se trouve souvent oublier...
La protection du CSRF
car la vérification de valeur d'un champ vide peut permettre la validation d'une étape même si ce n'est pas possible.
Donc un point supplémentaire à verrouiller et à protéger. Stop Messing up CSRF Protection (0 visite)
Parmi les enseignement du vers Myspace, il y a le fait que les protections traditionnelles contre les CSRF (cross-site request forgeries) sont rendues inopérantes par l'utilisation d'une XSS (cross-site scripting)...
Sans publie son top 20 de la sécurité pour 2006. Dans le classement, on trouve maintenant l'utilisateur comme point faible (phishing, social engineering, CSRF, etc).
On trouve aussi PHP, avec une...
En lisant ce blogue, j'ai reconnu la conversation classique : avant de pouvoir expliquer ce qu'est une CSRF, il faut mettre en scène l'ensemble (la victime, le site vulnérable aux XSS, l'internaute innocent), puis expliquer aussi les XSS. Au final, si l'interlocuteur ne comprend que la moitié du schéma, il écarte le tout du revers de la main, et dis : "bah, j'ai mis des filtres, donc pas de XSS chez moi."
En fait, être vulnérable aux CSRF est distinct de la XSS. Il faut se poser la question : "Quelles sont les opérations sur mon site qui peuvent être simulées entièrement en JavaScript ou bien avec une URL seule.". Par exemple, si vous pouvez effacer des billets de votre blogue avec une URL du type 'http://www.site.net/efface.php?id=10", alors vous êtes vulnérables aux CSRF. L'utilisation de JavaScript permet ici de dépasser le stade de la simple URL, et de faire des POST, ou d'autres manipulations complexes, comme des enchaînements de pages.
Le danger vient donc du fait que les opérations sur votre site peuvent être exécutées de manière automatisées, sans intervention de l'utilisateur. Ce sera donc le vecteur de l'attaque CSRF. Il reste maintenant à trouver un site ayant une XSS (le site victime final ou bien un autre, cela n'a pas d'importance. Piochez chez xssed pour avoir de belles list...
Les CSRF sont parfois écartées du revers de la main, comme un problème bénin, mais on commence à voir des applications réelles : comme le cas de David Airey qui s'est fait détourner son nom de domaine durant ses vacances pour un problème de CSRF sur GMail.
Le virus insérait un filtre supplémentaire dans GMail, qui envoyait une copie de tous les messages à une autre adresse : celle du pirate. A partir de la, le pirate a pu demander, légitimement, à son registrar les informations de transfert, et fait envoyer le nom de domaine ailleurs.
A la base, le virus a été injecté lorsque le pauvre David a visité un site vérolé, tout en ayant GMail ouvert en même temps. Le site a initié une requête pour ajouter le filtre, et la victime ne s'est aperçu de rien.
Lisez l'ensemble de l'histoire (qui se finit bien), pour bien mesurer les implications d'une petite faille CSRF. Au passage, il est recommandé de bien se déconnecter de tous les sites importants avant de surfer sur internet. A la Rasmus, vous pourriez aussi avoir un navigateur pour vos sites importants, un autre pour le surf de tous les jours. Ce n'est pas pratique, mais cela reste le plus sur. CSRF, Yup, Its Real Folks (0 visite) WARNING: Googles GMail security failure leaves my business sabotaged (0 visite) Collective effort restores David Airey.com (0 visite)
JavaScript applique une politique de sécurité simple : le navigateur ne peut contacter que l'hôte d'origine pour les applications AJAX. Cela limite les effets de CSRF, et la possibilité d'utiliser...
Ceux qui croient encore que l'ajout d'un certificat SSL va les protéger efficacement vont devoir revoir leur copie. Les XSS (et surtout les CSRF) sont parfaitement capables d'utiliser le navigateur...
PHPit présente 3 vulnérabilité potentielle pour les applications PHP, des méthodes pour tester ces problèmes et les solutions à intégrer dans la programmation.
+ Injections email
+ Affichage de source
+ CSRF
A new microscope developed by the TEAM Project (Transmission Electron Aberration-corrected Microscope), supported by the U.S. Department of Energy, has recorded the highest-resolution images ever seen (0.05 nanometer and below). This is equivalent to a quarter of the diameter of a carbon atom. This microscope will be delivered to the Berkeley National Laboratory in 2008 and will be fully operational in 2009. To achieve this resolution, this microscope mixes two technologies, SEM (Scanning Electron Microscope) and TEM (Transmission Electron Microscope). Such a microscope will allow to 'study how atoms combine to form materials, how materials grow and how they respond to a variety of external factors.'
