HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Présentations > Évolution des attaques de type Cross-Site Request Forgery
Accéder au : Site HSC des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Veille en vulnérabilités
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|Évolution des attaques de type Cross-Site Request Forgery  
> Accès au contenu HTML Début de la présentation
PDF Version PDF [2048 Ko]
AdobeFlash Version Adobe Flash  
> Description Cette présentation fait le point sur le danger que représentent les attaques de type Cross Site Request Forgery (CSRF ou XSRF) et l'évolution des risques provoquée par certaines nouvelles fonctionnalités des navigateurs Web. Elle montre que les attaques de type Cross-Site Request Forgery sont simples à effectuer et qu’elles peuvent avoir des conséquences importantes pour la sécurité des applications Web.  
> Contexte & Dates Présentation effectuée au SSTIC 2007 (Symposium sur la Sécurité des Technologies de l'Information et des Communications), le 1 juin 2007.
 
> Auteur Louis Nyffenegger, Renaud Feil 
> Langue et Nature [ Français - HTML ]  
> Résumé &
Table des matières
Page de garde
Sommaire
Présentation des attaques de type Cross-Site Request Forgery
Le navigateur comme client léger universel
Une vulnérabilité enfin reconnue
Cinématique d'une attaque CSRF (1/4)
Cinématique d'une attaque CSRF (2/4)
Cinématique d'une attaque CSRF (3/4)
Cinématique d'une attaque CSRF (4/4)
Possibilités des attaques de type CSRF
Le "Session Riding"
Exemples d'applications Web vulnérables
Webmin
Webmin (l'attaque)
Site www.sstic.org
Site www.sstic.org : modification de l'entrée Email
Site www.sstic.org : récupération des informations de connexions
OWA, Horde, Blogspot, SMC...
Limites des attaques de type CSRF « traditionnelles » et évolution de la menace
Limites des CSRF "traditionnels"
Assurer la persistance du code hostile
Rendre l'attaque interactive
Consulter la réponse
CSRF avec XMLHttpRequest() (1/4)
CSRF avec XMLHttpRequest() (2/4)
CSRF avec XMLHttpRequest() (3/4)
CSRF avec XMLHttpRequest() (4/4)
Les protections contre les attaques de type CSRF
Protections
Conclusion
Questions  
> Documents liés
themeWeb
[Formation]  Sécurité des serveurs et des applications web
[Outil]  Outil Webef [Outil de brute-force de fichiers et répertoires d'un serveur web - Anglais]
[Présentation]  Les webshells, ou comment ouvrir les portes de son réseau ? [21 octobre 2010 - Français]
[Présentation]  JBoss AS: exploitation et sécurisation [11 juin 2010 - Français]
[Présentation]  Les webshells, ou comment ouvrir les portes de son réseau ? [16 mars 2010 - Français]
[Présentation]  Les webshells, véritable menace pour les SI ? [1 décembre 2009 - Français]
[Présentation]  Problèmes rencontrés dans les applications web des entreprises [27 novembre 2008 - Français]
[Présentation]  Sécurité des applications [23 octobre 2008 - Français]
[Présentation]  Audit de code, retour d'expérience [21 novembre 2007 - Français]
[Présentation]  Chiffrement de contenu Web hostile over HTTP [31 mai 2007 - Français]
[Présentation]  Le Web 2.0 : Plus d'ergonomie... et moins de sécurité ? [22 mai 2007 - Français]
[Brève]  Installation et fonctionnement de mod_security2 [24 avril 2007 - Français]
[Brève]  Présentation du module ModSecurity de Apache. [14 juin 2006 - Français]
[Présentation]  Sécurité des bases de données et des ERP [15 juin 2005 - Français]
[Présentation]  Multiplexage des flux applicatifs dans SSL/TLS dans les VPN SSL [7 avril 2005 - Anglais]
[Présentation]  Éléments de sécurisation PHP [27 novembre 2003 - Français]
[Présentation]  Web Services et Sécurité [10 septembre 2003 - Français]
[Brève]  Mécanismes d'authentification HTTP/HTTPS [10 mars 2003 - Français]
[Présentation]  L'exécution croisée de code [27 février 2003 - Français]
[Présentation]  SGBD et Sécurité [1 avril 2002 - Français]
[Présentation]  Apache et la sécurité des serveurs web [1 février 2002 - Français]
[Brève]  Mise en oeuvre de filtrage avec mod_eaccess sur un relais HTTP inverse [3 septembre 2001 - Français]
[Outil]  Outil Subweb [Relais inverse HTTP - Anglais]
[Outil]  Outil Babelweb [Obtention automatique d'informations d'un serveur web - Anglais]
[Brève]  Wrappeur universel de CGI [5 août 2001 - Français]
[Brève]  Pourquoi HTTPS n'est pas de la sécurité web [7 mai 2001 - Anglais]
[Brève]  Filtrer des URLs dans un relais inverse [5 mai 2001 - Français]
[Présentation]  Piratage des serveurs web [14 mars 2001 - Français]
[Brève]  Pourquoi un relais inverse [13 février 2001 - Français]
[Brève]  Apache en relais inverse [11 novembre 2000 - Français]
[Présentation]  Les services internet (messagerie, DNS, web) en toute sécurité avec Linux [26 septembre 2000 - Anglais]
[Présentation]  Les services internet (messagerie, DNS, web) en toute sécurité avec Linux [26 avril 2000 - Français/Anglais]
[Présentation]  Les services internet (messagerie, DNS, web) en toute sécurité avec Linux [1 février 2000 - Français]
[Veille]  Netscape [16 janvier 1996 - Français]
themeProgrammation sécurisée
[Formation]  Programmation sécurisée
[Présentation]  Sécurité des applications [23 octobre 2008 - Français]
[Présentation]  Audit de code, retour d'expérience [21 novembre 2007 - Français]
[Présentation]  Le Web 2.0 : Plus d'ergonomie... et moins de sécurité ? [22 mai 2007 - Français]
[Présentation]  Sécurité dans les développements de logiciels [11 mai 2007 - Français]
[Présentation]  Éléments de sécurisation PHP [27 novembre 2003 - Français]
[Présentation]  Comment concevoir des applications sécurisées basées sur la séparation des privilèges [11 juillet 2002 - Français/Anglais]
[Présentation]  Programmation sécurisée et trappes logicielles [18 mars 2002 - Français]
themeCommerce électronique
[Présentation]  Le Web 2.0 : Plus d'ergonomie... et moins de sécurité ? [22 mai 2007 - Français]
[Présentation]  Web Services et Sécurité [10 septembre 2003 - Français]
[Présentation]  Risques et solutions d'un projet e-commerce [28 septembre 2001 - Français]
[Présentation]  Maîtriser les risques d'exploitation liés au commerce électronique [21 juin 2000 - Français]
[Veille]  Electronic Commerce on the Internet [9 mai 1996 - Anglais]
[Veille]  Télémarket sur Multicâble [26 février 1996 - Français]
[Veille]  Globe-On-Line [12 juillet 1995 - Français]
[Veille]  EverGreen [16 mai 1995 - Anglais]
[Veille]  Le réseau ARTUUS [15 mai 1995 - Français]
themeInternet
[Formation]  Sécurité Internet/intranet
[Présentation]  Prospectives des doctrines françaises en matière de cyberdéfense [24 novembre 2010 - Français]
[Présentation]  Les webshells, ou comment ouvrir les portes de son réseau ? [21 octobre 2010 - Français]
[Présentation]  Les webshells, ou comment ouvrir les portes de son réseau ? [16 mars 2010 - Français]
[Présentation]  Les webshells, véritable menace pour les SI ? [1 décembre 2009 - Français]
[Présentation]  Dépérimétrisation ou pas ? [22 novembre 2007 - Français]
[Présentation]  Dénis de service sur l´infrastructure Internet [4 novembre 2003 - Français]
[Brève]  Mécanismes d'authentification HTTP/HTTPS [10 mars 2003 - Français]
[Veille]  Internet Familial de SmartValley [29 juin 2000 - Français]
[Veille]  SIAM et l'Internet [25 avril 1996 - Français]
[Veille]  KBT [5 février 1996 - Anglais]
[Veille]  La stratégie de France Télécom [10 janvier 1996 - Français]
[Veille]  Telekom On Line [4 janvier 1996 - Français]
[Veille]  Droit et l'Internet [4 décembre 1995 - Français]
[Veille]  Les décisions françaises concernant les projets sur les Autoroutes de l'Information [23 octobre 1995 - Français]
[Article]  Comment bâtir une architecture de sécurité Internet ? [octobre 1995 - Français]
[Veille]  Wanadoo [6 juillet 1995 - Français]
[Veille]  L'Homme Symbiotique [18 avril 1995 - Français]
themeIntranet
[Formation]  Sécurité Internet/intranet
[Article]  De l'insécurité des intranets [août 1999 - Français]
[Veille]  L´Intranet chez Microsoft [14 octobre 1996 - Français]
> Droits d'auteur © 2007, Hervé Schauer Consultants, tous droits réservés.

 

Dernière modification le 6 juin 2007 à 15:09:41 CET - webmaster@hsc.fr
Informations sur ce serveur - © 1989-2010 Hervé Schauer Consultants