Table des matières:
- Définition - Que signifie la contrefaçon de demande intersite (CSRF)?
- Techopedia explique la contrefaçon de demande intersite (CSRF)
Définition - Que signifie la contrefaçon de demande intersite (CSRF)?
La contrefaçon de demande intersite (CSRF) est un type d'exploitation de site Web effectuée en émettant des commandes non autorisées d'un utilisateur de site Web de confiance. CSRF exploite la confiance d'un site Web pour le navigateur d'un utilisateur particulier, par opposition aux scripts intersites, qui exploitent la confiance de l'utilisateur pour un site Web.
Ce terme est également connu sous le nom de session d'équitation ou d'attaque en un clic.
Techopedia explique la contrefaçon de demande intersite (CSRF)
Un CSRF utilise généralement la commande "GET" d'un navigateur comme point d'exploitation. Les faussaires CSR utilisent des balises HTML telles que «IMG» pour injecter des commandes dans un site Web spécifique. Un utilisateur particulier de ce site Web est ensuite utilisé comme hôte et complice involontaire. Souvent, le site Web ne sait pas qu'il est attaqué, car un utilisateur légitime envoie les commandes. L'attaquant pourrait émettre une demande de transfert de fonds vers un autre compte, retirer plus de fonds ou, dans le cas de PayPal et de sites similaires, envoyer de l'argent vers un autre compte.
Une attaque CSRF est difficile à exécuter car un certain nombre de choses doivent se produire pour qu'elle réussisse:
- L'attaquant doit cibler soit un site Web qui ne vérifie pas l'en-tête du référent (ce qui est courant), soit un utilisateur / victime avec un navigateur ou un plug-in qui permet l'usurpation du référent (ce qui est rare).
- L'attaquant doit localiser une soumission de formulaire sur le site Web cible, qui doit être capable de modifier les informations d'identification de l'adresse e-mail de la victime ou d'effectuer des transferts d'argent.
- L'attaquant doit déterminer les valeurs correctes pour toutes les entrées du formulaire ou de l'URL. Si l'un d'eux doit être une valeur secrète ou un ID que l'attaquant ne peut pas deviner avec précision, l'attaque échouera.
- L'attaquant doit attirer l'utilisateur / la victime sur une page Web contenant un code malveillant pendant que la victime est connectée au site cible.
Par exemple, supposons que la personne A consulte son compte bancaire tout en étant dans une salle de chat. Il y a un attaquant (personne B) dans la salle de chat qui apprend que la personne A est également connectée à bank.com. La personne B attire la personne A pour cliquer sur un lien pour une image amusante. La balise "IMG" contient des valeurs pour les entrées de formulaire de bank.com, qui transfèreront effectivement un certain montant du compte de la personne A au compte de la personne B. Si bank.com n'a pas d'authentification secondaire pour la personne A avant le transfert des fonds, l'attaque réussira.
