Présentation d'une attaque du type CSRF avec une présentation en fin de document.
Présentation faite lors de ma Licence 3 Informatique à l'Université de Franche-Comté.
Besançon, Novembre 2013.
6. BOULALA MARTIN 2013 Cross Site Request Forgery (CSRF) 6
ExempleExemple
L'attaquant La victime Le site victime
A V S
Salut ! Tu connais cette blague ?Salut ! Tu connais cette blague ?
C'est un mec il rentre dans un bar et C'est un mec il rentre dans un bar et
il crie "COUCOU C'EST MOI !!" il crie "COUCOU C'EST MOI !!"
et enfaite c'était pas lui...et enfaite c'était pas lui... X
Mail :Mail :
Logo d'image non chargéLogo d'image non chargé
Mais c'est ce qui permet Mais c'est ce qui permet
de charger la requête de charger la requête
censée supprimer le censée supprimer le
message sur message sur SS..
7. BOULALA MARTIN 2013 Cross Site Request Forgery (CSRF) 7
ExempleExemple
L'attaquant La victime Le site victime
A V S
Le navigateur de Le navigateur de VV interprète l'image. interprète l'image.
Ce qui exécute la requête et supprime le message.Ce qui exécute la requête et supprime le message.
VV ne s'en rend pas compte. ne s'en rend pas compte.