Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 30 mai au 1 juin 2007.

Evolution des attaques de type "Cross Site Request Forgery"Louis Nyffenegger, Renaud Feil


Date : 01 juin 2007 à 12:00 — 45 min.

Cette intervention pour le SSTIC fait le point sur le danger que représentent les attaques par CSRF et les évolutions récentes apportées par les nouveaux standards du Web.

Tout d'abord, nous montrerons que les attaques par CSRF sont simples à effectuer pour un attaquant, qu'elles peuvent avoir des conséquences importantes pour la sécurité des applications Web. Ensuite l'évolution de la menace au vue des nouvelles fonctionnalités des navigateurs récents mais aussi les difficultés pratiques liées à la réalisation d'attaques de type CSRF « en conditions réelles » seront détaillés. Des outils permettant d'automatiser ce type d'attaque seront présentés. Enfin, différentes solutions pour contrer ces attaques au niveau applicatif et au niveau utilisateur seront présentées.