https://openclassrooms.com/courses/s...s-failles-csrf

Tout y est expliqué. Pour se défendre, il est essentiel de comparer chaque variable afin de ne pas laisser de place à l'agencement à une structure de détournement.

La protection côté client, je dirais désactiver javascript ou alors l'ad-on "noscript" dans le cas d'une attaque CSRF qui passe par une “stored XSS” (ou XSS stockée). Vérifier les URLs avant de cliquer bètement qui vous sont envoyés surtout si vous êtes modérateur ou administrateur.

Mais la plupart des CMS vérifie toutes ses variables unes à unes afin de ne pas provoquer ce genre de bug.

Certains ont largement exploiter son processus en le liant au clickjacking afin de grapiller des followers,...

Pour ce qui est de la protection côté serveur, le token ou jeton provisoire de session est la meilleur défense, elle ne peut être contourné qu'avec un XSS + CSRF mais alors il faut en plus utiliser httponly, voici un article dessus :

http://blog.codinghorror.com/protect...kies-httponly/

http://www.corej2eepatterns.com/Design/PresoDesign.htm

Symphony et bien d'autres ont depuis longtemps intégré des anti-csrf dans leur code.

Mais, la vrai défense reste toujours la vigileance

Salut ! Merci de ta réponse ! Du coup on est d'accord que sur Facebook ou autre site web utiliser par des millions d'utilisateurs, les failles CSRF ne sont pas utilisables ? Il n'est pas possible avec un lien piégé de provoquer une action à l'insu de la victime ?
Merci d'avance.

Non, je dit simplement que la faille CSRF de départ est devenu difficile à exploiter puisque combler systèmatiquement, mais qu'il existe d'autres façons de les contourner en les combinant à du phishing, pharming, XSS, spear.... Beaucoup de site ne vérifie pas les tokens ou ne les emploie pas encore, beaucoup trop.

Et envoyer même qu'un lien de déconnection pourra abuser plus d'un admin. Mais les gros tenors font gaffe à ce type de faille banale et n'entrave que la partie centrale de la faille pas les à côtés.

Mais on retrouve plus cette faille sur les plugicielles pour CMS ou framework qui sont développés sans prendre en compte souvent le système de token et laisse un vide pour l'exploitant.

Regarde tient je répondais à un autre poste sur exploiDB : https://www.exploit-db.com/search/?a...BNwn&e_author=

Vérifie le captcha et mate : 471 entrées.

Donc, non ce n'est pas mort, mais les erreurs sont rapidement patchés.

Regarde pour ici par exemple sur VB5.

Tu regarde l'url de déconnection : http://hackademics.fr/login.php?do=l...xxxxxxxxxxxxxx

J'ai masquer les numéros mais tu remarque que le jeton est crypté en sha1 + salt, alors difficile si en aléatoire tu devais l'utiliser. Pareil de grosses structures comme facebook sont protégé contre cette faille, mais de petits nouveaux cms, plug,... créé par des web et dev peu expérimentés laisse encore la part eblle au CSRF.

Pour ce qui est des modifications tu a les URLs à visiter et comprendre, delete aussi, par contre je n'entrerais pas dans les détails qui dépassent le postes et surtout l'éthique. Mais en analysant les url qui passent toutes par GET, on peut simuler de nouvelles à soumettre.

Bref, voilà.

Merci pour toutes ces réponses

De rien, tu peux rechercher ce type de faille en analysant comment sont envoyé client/serveur les données de renseignement ou en analysant la structure d'un site. Souvent tu va avoir des tokens pour le site mais pour un calendar tu n'aura pas d'HttpOnly. Ou tu va rechercher les bugs en te plaçant entre le serveur et le client, bref il y a de quoi faire.

Par exemple pour hackademics qui est bien sécurisé (feloch aux admins) sur ce point là comme démontré des tokens sont transmis mais même pour les annexes comme thanks qui génére également un token :

On vois bien la variable JS qui appelle le fichier php thanks et lui soumet un jeton sécurité.

D'où connaître le langage web pour du web, pc pour du pc,....

Voici l'original : http://pastebin.com/nA1nmnai

Et ceci en 20 secondes, imagine une recherche approprié, une approche différente,... Je n'entrerais pas dans les détails car suis naze ce soir, mais tu a compris la technique.

Les URLs de modification et delete sont souvent transmis sans token secure et surtout passe en GET, je n'irais pas plus loin car ce serais contre l'éthique, mais l'étude des URLs peut permettre de nouvelles compositions à tester afin de provoquer une CSRF. Tout dépendra de comment elles sont transmises.

Bref, c'est un travail de fourmis au cours duquel tu doit être discret puisque tu devra soumettre l'url à un admin à la fin pour que le système se referme.

Voilà

Ok ! Super merci D'ailleurs, à ce propos, j'ai vu pas mal de tutos où Burpsuite est utilisé pour voir les champs de formulaires envoyés, notamment ceux "cachés", mais auriez-vous de bons tutos pour apprendre à manier BurpSuite ? Je n'arrive pas à en trouver pour cet usage ! Merci pour toutes vos réponses !

Des tutos il y en a plein sur google.

Tu n'a qu'à taper les mots clé burp suite csrf tutoriel et lancer. au pire tu rajoute un TYPEFILE: PDF en fin de mots clés et tu lance pour avoir des pdf.

Voilà sur ceux bonne chance pour la suite. Mais CSRF n'est qu'une infime partie de la sécurité et je te conseillerais de commencer par le début, le fonctionnement d'un PC, d'un réseau, D'internet,... Puis ensuite leur relation, les composants,... Après c'est à toi de voir.

Bonne chance

Oui t'as raison, mais je commence à m'intéresser au hacking parce que justement j'aime comprendre comment ça marche. Je me suis déjà intéressé à comment fonctionne un ordinateur ainsi qu'un serveur. Et puis comme les seuls langages que je connaisse c'est le PHP etMySQL je m'intéressait à cette faille Merci en tous cas pour tes réponses