Evolution des attaques de type "Cross Site Request Forgery"Louis Nyffenegger, Renaud Feil


Date : 01 juin 2007 à 12:00 — 45 min.

Cette intervention pour le SSTIC fait le point sur le danger que représentent les attaques par CSRF et les évolutions récentes apportées par les nouveaux standards du Web.

Tout d'abord, nous montrerons que les attaques par CSRF sont simples à effectuer pour un attaquant, qu'elles peuvent avoir des conséquences importantes pour la sécurité des applications Web. Ensuite l'évolution de la menace au vue des nouvelles fonctionnalités des navigateurs récents mais aussi les difficultés pratiques liées à la réalisation d'attaques de type CSRF « en conditions réelles » seront détaillés. Des outils permettant d'automatiser ce type d'attaque seront présentés. Enfin, différentes solutions pour contrer ces attaques au niveau applicatif et au niveau utilisateur seront présentées.