Le CSRF démystifié et bloqué

Spécialité(s)


Résumé

Dans cet article, nous allons détailler la vulnérabilité appelée CSRF qui est l’une des plaies les plus courantes que l’on remonte dans les audits de sécurité tout en proposant diverses solutions en fonction du contexte de l’application Web que vous utilisez.


 

Le Cross Site Request Forgery (CSRF), encore appelé XSRF en anglais, est une vulnérabilité courante dans les applications Web (principalement mais cela peut s’appliquer aussi aux applications mobiles, client-serveur, etc.). Toutes les études que nous pouvons trouver en parlent et la classent parmi les plus courantes :

  • Le Top10 OWASP la classe à la 8ème position [1] ;
  • Le Web Application Security Consortium la classe 9ème  position sur 49 vulnérabilités [2] ;
  • La dernière étude sur les sites Web de la société WaveStoneFr (en 2016) la classe en 3ème position des failles découvertes [3].

Pourtant il peut être très simple dans certains cas de corriger cette vulnérabilité. Plusieurs solutions s’offrent en fonction du contexte. Cela peut être parfois même réglé par un simple clic dans une boîte de dialogue. Nous allons voir dans cet article les différentes solutions qui s’offrent à nous que cela soit de manière « infrastructure ou...

Cet article est réservé aux abonnés. Il vous reste 94% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne


Article rédigé par

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous