Le CSRF démystifié et bloqué

GNU/Linux Magazine

n°

200

janvier 2017

Par

Gioria Sébastien

Sécurité réseau

Tag(s)

Django

Ruby On Rails

CSRF

Dans cet article, nous allons détailler la vulnérabilité appelée CSRF qui est l’une des plaies les plus courantes que l’on remonte dans les audits de sécurité tout en proposant diverses solutions en fonction du contexte de l’application Web que vous utilisez.

Le Cross Site Request Forgery (CSRF), encore appelé XSRF en anglais, est une vulnérabilité courante dans les applications Web (principalement mais cela peut s’appliquer aussi aux applications mobiles, client-serveur, etc.). Toutes les études que nous pouvons trouver en parlent et la classent parmi les plus courantes :

Le Top10 OWASP la classe à la 8ème position [1] ;
Le Web Application Security Consortium la classe 9ème position sur 49 vulnérabilités [2] ;
La dernière étude sur les sites Web de la société WaveStoneFr (en 2016) la classe en 3ème position des failles découvertes [3].

Pourtant il peut être très simple dans certains cas de corriger cette vulnérabilité. Plusieurs solutions s’offrent en fonction du…

La suite est réservée aux abonnés. Il vous reste 94% à découvrir.

Déjà abonné ? Se connecter

Accédez à tous les contenus de Connect en illimité
Découvrez des listes de lecture et des contenus Premium
Consultez les nouveaux articles en avant-première

Envie de lire la suite ? Rejoignez Connect

Je m'abonne maintenant

Article rédigé par

Gioria Sébastien

4 articles

Par le(s) même(s) auteur(s)

Plus d'article de cet auteur

Node.js == Sécurité ?

GNU/Linux Magazine

HS n°

juillet 2016

Par

Gioria Sébastien

Code

On parle de plus en plus de déployer du Node.js sur les serveurs dans la mode DevOPS/Web 42.0. Bien sûr, ce type de serveur répond à pas mal de problématiques pour les développeurs, et sûrement aussi pour certains administrateurs… Mais comment le déployer correctement pour éviter de se faire « p0wner » par un méchant petit pirate de l’Internet ? Dans cet article, nous allons faire le tour des fonctionnalités minimales permettant de s’assurer une sécurité du serveur Node.

Lire l'article

Tester la sécurité d'une application Web avec OWASP Zap Proxy

GNU/Linux Magazine

HS n°

janvier 2015

Par

Gioria Sébastien

Sécurité réseau

Sécurité du code

Vous souhaitez effectuer des tests de sécurité automatisés ou manuels sur une application Web ? Voici comment utiliser OWASP Zap Proxy !

Lire l'article

Les listes de lecture

Python niveau débutant

9 article(s) - ajoutée le 01/07/2020

Code

Vous désirez apprendre le langage Python, mais ne savez pas trop par où commencer ? Cette liste de lecture vous permettra de faire vos premiers pas en découvrant l'écosystème de Python et en écrivant de petits scripts.

Au pays des algorithmes

11 article(s) - ajoutée le 01/07/2020

Algo

La base de tout programme effectuant une tâche un tant soit peu complexe est un algorithme, une méthode permettant de manipuler des données pour obtenir un résultat attendu. Dans cette liste, vous pourrez découvrir quelques spécimens d'algorithmes.

Analyse de données en Python

10 article(s) - ajoutée le 01/07/2020

Code

À quoi bon se targuer de posséder des pétaoctets de données si l'on est incapable d'analyser ces dernières ? Cette liste vous aidera à "faire parler" vos données.

Plus de listes de lecture