Les CSRF sont des attaques qui s'appuient sur un utilisateur référencé sur un site Web pour faire passer des commandes. Le pirate ne connait pas le mot de passe utilisateur, mais prend la session de travail : contrairement aux XSS, les CSRF exploitent la confiance du site Web envers les utilisateurs identifiés.
Les CSRF sont plus rares, mais Chris Shiflett en signale une d'envergure : en 20 heures, samy a pu se faire référencer commer ami et 'héros' de près d'un million de personnes sur le site de myspace.
Jeremiah Grossman propose une conférence en ligne consacré aux CSRF. Il consacrera la session à démystifier les Cross-Site Request Forgery (CSRF), le Session Riding, les chevaux de Troy sur le...
Les CSRF sont sous le microscope depuis quelques temps. Elles s'appuient sur un utilisateur avec des droits supérieurs pour lui faire exécuter des commandes à son insu. C'est une des...
De toutes les vulnérabilités affectant les applications Web, notamment celles écrites en PHP, Cross-Site Request Forgery (CSRF) et Cross-Site Scripting (XSS) sont les plus répandues. Dans de nombreux cas, les...
Régulièrement nous vous parlons des problèmes de la sécurité au niveau de PHP. Paul Reinheimer nous alerte sur un point qui se trouve souvent oublier...
La protection du CSRF
car la vérification de valeur d'un champ vide peut permettre la validation d'une étape même si ce n'est pas possible.
Donc un point supplémentaire à verrouiller et à protéger. Stop Messing up CSRF Protection (0 visite)
Les CSRF sont plutôt difficiles à contre carrer, puisqu'elles exploitent l'identitée d'un utilisateur dûment authentifié, et que le pirate n'est même pas en contact direct avec le site.
ThinkPHP vous...
Parmi les enseignement du vers Myspace, il y a le fait que les protections traditionnelles contre les CSRF (cross-site request forgeries) sont rendues inopérantes par l'utilisation d'une XSS (cross-site scripting)...
Microsoft vient de clarifier le flou régnant autour de Windows 7 Starter qui sera vendu dans tous les pays, y compris les pays développés.Les versions de Windows 7Lors de l'annonce des différentes versions de Windows 7 (cf. « Les versions officielle
Microsoft vient de clarifier le flou régnant autour de Windows 7 Starter qui sera vendu dans tous les pays, y compris les pays développés.Les versions de Windows 7Lors de l'annonce des différentes versions de Windows 7 (cf. « Les versions officielle
Peut-on considérer la question du travail sous l'angle du refus sans provoquer d'emblée la réprobation générale ? Est-il possible d'aborder le thème du chômage sans le présenter sous le signe exclusif de la tragédie, mais en y décelant au contraire un des moyens d'échapper aux griffes de l'exploitation et de reconquérir son temps de vie ? Attention danger travail en propose l'expérience en présentant une série d'entretiens avec des chômeurs qui ne paraissent ni accablés, ni désespérés.
Leader du Championnat de France mais collé de très près par Bordeaux, l'Olympique de Marseille se rend à Nice mercredi et reçoit Lyon, dimanche. Si la réception de l'OL attire tous les regards, les Marseillais ne veulent pas griller les étapes et se concentrent avant tout sur le Gym.
Leader du Championnat de France mais collé de très près par Bordeaux, l'Olympique de Marseille se rend à Nice mercredi et reçoit Lyon, dimanche. Si la réception de l'OL attire tous les regards, les Marseillais ne veulent pas griller les étapes et se concentrent avant tout sur le Gym.
Vivre près d'une ligne à très haute tension nuit à la santé, selon une étude.
La très haute tension fait peur. France 3 Ouest revient sur la polémique qui oppose les contres et RTE
Vivre à moins de 300 mètres d'une ligne à trè...
Il y a peu de défense contre les CSRF, car c'est l'utilisateur innoncent qui exécute les commandes pour le pirate. Ce dernier ne passe jamais sur le site. Il existe quand même des techniques variées pour éviter le pire :
Identifiant de formulaire unique
Nom de page aléatoire
Identification
Casser les frames
Limiter la casse