Le Guide API ReST | Marmicode
Le Guide API ReST | Marmicode
đŸ‘šđŸ»â€đŸł Marmicode.fr
đŸ‘šđŸ»â€đŸ’» Consulting & Code Review
✉ Help!
Le Guide API ReST par Marmicode
API ReST
Conventions & Bonnes Pratiques
Les Outils
Sécurité des APIs ReST
OWASP Top 10
Authentification et Session Management
Autorisation et Gestion des Permissions
Validation, Canonicalization, Escaping & Sanitization
Cookies are EVIL
C.O.R.S.
C.S.R.F.
C.S.R.F. & Media Type
C.S.R.F. Mitigation
C.S.R.F. & "Resource Linking"
J.O.S.E.
J.W.T.
OAuth 2
OpenID Connect
Autres Spécifications
Quelques Liens & Ressources
Stay Tuned
📝Blog
🐩Twitter
📬Newsletter
Propulsé par GitBook

C.S.R.F.

Cross-Site Request Forgery (ou X.S.R.F.)
Cross-Site Request Forgery

Cross-Site Request Forgery est une attaque in-the-browser dont le scénario est le suivant :

  1. Un utilisateur (victime) doit ĂȘtre authentifiĂ© sur l’application vulnĂ©rable.

  2. L'attaquant doit rĂ©ussir Ă  faire visiter une application qu’il contrĂŽle (entiĂšrement ou partiellement) par la victime.

  3. Lors de la visite de la victime, l'attaquant dĂ©clenche une opĂ©ration sur l’application vulnĂ©rable en utilisant implicitement les credentials de la victime. On suppose qu’une requĂȘte de type GET ne peut pas dĂ©clencher d’opĂ©ration sensible car autrement il suffirait de rediriger l’utilisateur vers l’URL en question.

  4. Si les rĂšgles C.O.R.S. sont dĂ©sactivĂ©es par l’un des moyens dĂ©crits dans le chapitre C.O.R.S., l'attaquant peut simplement dĂ©clencher une requĂȘte POST de son choix Ă  destination de l’application vulnĂ©rable en utilisant les credentials de la victime.

Si la whitelist d'origins n’effectue pas une vĂ©rification rigoureuse, l'attaquant pourrait Ă©ventuellement contrĂŽler le domaine http de l’application vulnĂ©rable en ciblant le domaine https de l’application vulnĂ©rable.

Précédent
C.O.R.S.
Suivant
C.S.R.F. & Media Type
DerniĂšre mise Ă  jour 2 years ago