Csrf 1 Scénario de l ? attaque Koutheir transmets de l ? argent à Malek via l ? url http localhost covid transfer php Le transfert est réussi et dans ce cas un simple message est a ?ché à l ? utilisateur En e ?et la page PHP transfer php représente une fa

Scénario de l ? attaque Koutheir transmets de l ? argent à Malek via l ? url http localhost covid transfer php Le transfert est réussi et dans ce cas un simple message est a ?ché à l ? utilisateur En e ?et la page PHP transfer php représente une faille de sécurité très connue Imaginons qu ? arrive t ? il quand un pirate connait cet url ainsi que les paramètres du formulaire que Koutheir a subit Le formulaire rempli par Koutheir redirige Koutheir vers transfer php pour a ?cher un message de con ?rmation Le champ amount représente la somme à transférer tandis que le champ Creceiver consiste le destinataire Quant à l ? expéditeur ? Koutheir ? il est déjà authenti ?é et connecté L ? image ci-dessous décrit la page transfer php Maintenant le pirate e ?ectue l ? attaque CSRF en saisissant transfer php comme étant l ? action du formulaire ainsi que les paramètres ? receiver ? et ? amount ? CSRF ne fonctionnera que si la victime potentielle est authenti ?ée À l'aide d'une attaque CSRF un pirate peut contourner le processus d'authenti ?cation pour entrer dans une application Web Lorsqu'une victime avec des privilèges e ?ectue des actions qui ne sont pas accessibles à tout le monde c'est lorsque des attaques CSRF sont utilisées Tels que les scénarios bancaires en ligne Dans ce cas le pirate trompe Koutheir Il prétend la possession d ? un blog similaire à Malek une connaissance de Koutheir Le pirate modi ?e les inputs et l ? action du formulaire sans que la victime sache Il demander Koutheir qui est déjà authenti ?é à l ? application bancaire de saisir son Ccommentaire à propos cette image Il existe deux parties principales pour exécuter une attaque CSRF Cross-Site Request Forgery La première partie consiste à inciter la victime à cliquer sur un lien ou à charger une page Cela se fait normalement par l'ingénierie sociale social engineering En utilisant des méthodes d'ingénierie sociale l'attaquant incitera l'utilisateur à cliquer sur le lien La deuxième partie consiste à envoyer une demande falsi ?ée ? ou forged au navigateur de la victime Ce lien enverra une demande d'apparence légitime à l'application Web La demande sera envoyée avec les valeurs souhaitées par l'attaquant En dehors d'eux cette demande inclura tous les cookies que la victime a associés à ce site Web CPar conséquent un transfert d ? argent vers l ? attaquant aura lieu Notez bien que nous avons gardé l ? identité du pirate pour clari ?er le processus de l ? attaque Mitigation CSRF token L'implémentation la plus populaire pour empêcher CSRF consiste à utiliser un jeton associé à un utilisateur particulier et qui peut être trouvé comme valeur masquée dans chaque formulaire de changement d'état présent sur l'application Web Ce jeton appelé jeton CSRF ou jeton de synchronisation fonctionne comme suit Le client demande une page HTML contenant un formulaire Le serveur inclut un jeton dans la réponse Un

  • 28
  • 0
  • 0
Afficher les détails des licences
Licence et utilisation
Gratuit pour un usage personnel Attribution requise
Partager
  • Détails
  • Publié le Mar 10, 2021
  • Catégorie Business / Finance
  • Langue French
  • Taille du fichier 25.9kB