Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet
Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Resources > Articles > Évolution des attaques de type Cross Site Request Forgery
Go to: HSC Trainings
Version française
o Skills & Expertise
o Consulting
o ISO 27001 services
o Audit & Assessment
o Penetration tests
o Vunerability assessment (TSAR)
o Forensics
o Training courses
o E-learning
o Agenda
o Past events
o Tutorials
o Thematic index
o Tips
o Lectures
o Courses
o Articles
o Tools (download)
o Vulnerability watch
o Hervé Schauer
o Team
o Job opportunities
o Credentials
o History
o Partnerships
o Associations
   Press and
o HSC Newsletter
o Press review
o Press releases
o Publications
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
|>|Évolution des attaques de type Cross Site Request Forgery  
> Access to the content HTML Beginning of the article
PDF PDF version [606KB]  
> Description Évolution des attaques de type Cross Site Request Forgery - SSTIC07, juin 2007  
> Context & Dates Publication and presentation during SSTIC07
Publication sur www.hsc.fr le 28 August 2007  
> Author Louis Nyffenegger and Renaud Feil 
> Type  
> Abstract &
Table of content


Cet article présente un état de l'art des attaques de type Cross-Site Request Forgery et les nouvelles techniques pouvant être utilisées par des attaquants pour les réaliser de façon efficace. Plusieurs scénarios d'attaque sur des applications Web grand public sont expliqués ainsi qu'une vulnérabilité, présente dans la plupart des navigateurs Web récents. Cette vulnérabilité permet de réaliser des attaques de type Cross-Site Request Forgery efficaces à l'aide de l'objet XMLHttpRequest. De plus, une technique inédite, permettant d'assurer la persistance du code hostile sur la machine, même après la fermeture de la fenêtre du navigateur est présentée. Enfin, les meilleures solutions pour se prémunir de ces attaques sont discutées pour permettre à chacun (utilisateurs, développeurs de navigateurs ou d'applications Web, responsables de la sécurité des systèmes d'informations dans une organisation, etc...) de contribuer à l'éradication de cette menace.


Cross Site Request Forgery attacks

  • A basic scenario
  • A dangerous attack
  • An underrated attack

Evolution of attacks on recent Web browsers

  • The historical attacks using GET and POST: more efficient with Javascript
  • Attacks using browser plugins
  • XMLHttpRequest: new opportunities for CSRF attacks

Practical CSRF attacks

  • Dynamic contrôle of CSRF attacks: presentation of CSRF-proxy
  • Problematique of storing hostile code

Protection against CSRF attacks

  • Users sensitization
  • Strengthening browsers
  • Threats assessement in Web applications


> Related documents
themeSecurity Architectures
[Presentation]  DNS Finger - Sharing identity via the DNS [7 June 2012 - French]
[Presentation]  Industrial control systems security. Scadastrophe... or not. [15 May 2012 - French]
[Presentation]  Multi-layers in depth security [19 March 2011 - French]
[Presentation]  Tunnels detection at network border [2 June 2006 - French]
[Article]  Détection de tunnels aux limites du périmètre [2 June 2006 - French]
[Presentation]  How to make one's Internet security [5 January 2002 - French]
[Presentation]  Security architecture for connecting to the Internet [18 December 2001 - French]
[Article]  How to set up security systems? [29 March 2001 - French]
[Presentation]  How to insert VPNs in existing security architectures? [29 September 1999 - French]
[Article]  TAFIM - Technical Architecture Framework for Information Management [May 1997 - French]
[Article]  How to build a secure Internet access architecture? [October 1995 - French]
themeHTTP (HyperText Transfer Protocol)
[Tool]  Webef tool [Bruteforcer of web server files and directories - English]
[Presentation]  Webshells, real threat for information systems ? [1 December 2009 - French]
[Presentation]  Encrypting hostile Web content over HTTP [31 May 2007 - French]
[Tip]  Configuring and using modsecurity2 [24 April 2007 - French]
[Tip]  Presentation of Apache ModSecurity module [14 June 2006 - French]
[Presentation]  Tunnels detection at network border [2 June 2006 - French]
[Article]  Détection de tunnels aux limites du périmètre [2 June 2006 - French]
[Tip]  HTTP/HTTPS authentication methods [10 March 2003 - French]
[Tool]  Subweb tool [HTTP reverse proxy - English]
[Presentation]  Prospects and drawbacks of the new HTTP versions [24 October 1996 - French]
[Presentation]  HTTP/1.1 [6 June 1996 - French]
[Presentation]  Using HTTP/1.1 for building a security proxy [19 March 1996 - French]
> Copyright © 2007, Hervé Schauer Consultants, all rights reserved.


Last modified on 14 September 2007 at 12:59:09 CET - webmaster@hsc.fr
Information on this server - © 1989-2013 Hervé Schauer Consultants