FranceHack Index du Forum
S’enregistrerRechercherFAQMembresGroupesConnexion
La faille CSRF – Exploitation et sécurisation

 
Répondre au sujet    FranceHack Index du Forum » Failles et Exploits » CSRF Sujet précédent
Sujet suivant
La faille CSRF – Exploitation et sécurisation
Auteur Message
Yohann666
Invité

Hors ligne




Message La faille CSRF – Exploitation et sécurisation Répondre en citant
La faille CSRF – Exploitation et sécurisation

   

   
Bienvenue tous le monde !
Je vais vous montrer aujourd’hui une super faille à vous mettre sous la dent, qui touche le langage PHP: la faille CSRF
   
   
Mais quisquisique ?  
   
La faille CSRF (Cross-Site Request Forgeries),  est une faille visant à « forcer » un utilisateur à visiter une URL via son navigateur.   
   
Ça passe pas ? Allez, un exemple
!
   
   
Supposons que George possède un site perso, il est donc l’admin, et peut faire tous ce qu’il veut: poster des articles, les supprimer…etc.   
   
Pour qu’il puisse supprimer un article, George doit passer par cette URL:   
   
http://lesitedegeorge.com/admin/supprimer.php?id=4   
   
il suffira donc de donner en paramètre, l’ID de l’article à supprimer…   
   
Tout se passe bien, avant qu’intervienne Khaled, un vilain Hacker prêt à dévaster le pauvre petit site de George !    
   
Khaled, qui ne peut PAS supprimer l’article car n’a pas les permissions nécessaires, pourrait simplement envoyer le lien qui servira à supprimer l’article à George, sauf que George n’est pas idiot au point de cliquer sur le lien…   
   
Notre malin hacker doit donc procéder différemment. Et c’est là que le navigateur de George entre en jeu !    
   
Revenons à Khaled. Ce qu’il va faire est d’envoyer un message à George, non pas pour lui dire bonjour, mais pour lui coller ça sur le message :   
   
<img src=″http://lesitedegeorge.com/admin/supprimer.php?id=4″ />   
   
Quand George ouvrira le message, le navigateur – qui lui, ne résiste pas à la tentation – va directement aller sur le lien, afin de charger « l’image » qui en fait n’en est pas une
   
   
Vous captez mieux maintenant
? Super, on continue !    
   
En quoi peut-elle être utile pour le hacker
  
 
En voici une bonne question ! On peut exploiter cette faille pour les buts suivants :  Défasser un site, mettre le bordel dessus, etc…Trafiquer un vote ou un sondageAvoir des milliers de followers sur Twitter []  
Etc… 
 
  
Comment sécuriser ça ? Utilisez un token !
  
 
Je vais juste vous expliquer le principe du token (ou jeton si vous préférez), sinon l’article sera trop lent pour vos âmes fragiles
 
 
Donc, le but est de créer un jeton, qui durera que pendant UNE session, et sera valide uniquement pour UN SEUL utilisateur. c’est pas super ça ?
 

   
SE TUTORIEL N'EST PAS DE MOI JE NE FAIS QUE PARTAGER
   



Jeu 5 Mai - 19:47 (2011)
Publicité






Message Publicité
PublicitéSupprimer les publicités ?

Jeu 5 Mai - 19:47 (2011)
Mugiwara
Invité

Hors ligne




Message La faille CSRF – Exploitation et sécurisation Répondre en citant
Merci


Jeu 2 Jan - 23:42 (2014)
Contenu Sponsorisé






Message La faille CSRF – Exploitation et sécurisation

Aujourd’hui à 10:54 (2016)
Montrer les messages depuis:    
Répondre au sujet    FranceHack Index du Forum » Failles et Exploits » CSRF Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 

Portail | Index | créer un forum gratuit | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001, 2005 phpBB Group
Design by Freestyle XL / Music Lyrics.Traduction par : phpBB-fr.com