Définition - Que signifie la falsification de demandes intersites (CSRF)?
La falsification de requête intersite (CSRF) est un type d'exploitation de site Web effectué en émettant des commandes non autorisées d'un utilisateur de site Web de confiance. CSRF exploite la confiance d'un site Web pour le navigateur d'un utilisateur particulier, par opposition au script intersite, qui exploite la confiance de l'utilisateur pour un site Web.
Ce terme est également connu sous le nom de session riding ou d'attaque en un clic.
Definir Tech explique la falsification de requêtes intersites (CSRF)
Un CSRF utilise généralement la commande "GET" d'un navigateur comme point d'exploit. Les faussaires CSR utilisent des balises HTML telles que "IMG" pour injecter des commandes dans un site Web spécifique. Un utilisateur particulier de ce site Web est alors utilisé comme hôte et complice involontaire. Souvent, le site Web ne sait pas qu'il est attaqué, car un utilisateur légitime envoie les commandes. L'attaquant peut émettre une demande de transfert de fonds vers un autre compte, retirer davantage de fonds ou, dans le cas de PayPal et de sites similaires, envoyer de l'argent vers un autre compte.
Une attaque CSRF est difficile à exécuter car un certain nombre de choses doivent se produire pour qu'elle réussisse:
- L'attaquant doit cibler soit un site Web qui ne vérifie pas l'en-tête du référent (ce qui est courant) ou un utilisateur / victime avec un navigateur ou un bug de plug-in qui permet l'usurpation du référent (ce qui est rare).
- L'attaquant doit localiser une soumission de formulaire sur le site Web cible, qui doit être capable de quelque chose comme changer les informations de connexion de l'adresse e-mail de la victime ou effectuer des transferts d'argent.
- L'attaquant doit déterminer les valeurs correctes pour toutes les entrées du formulaire ou de l'URL. Si l'un d'entre eux doit être des valeurs secrètes ou des ID que l'attaquant ne peut pas deviner avec précision, l'attaque échoue.
- L'attaquant doit attirer l'utilisateur / victime vers une page Web contenant un code malveillant pendant que la victime est connectée au site cible.
Par exemple, supposons que la personne A navigue sur son compte bancaire tout en étant également dans un salon de discussion. Il y a un attaquant (Personne B) dans la salle de chat qui apprend que la Personne A est également connectée à bank.com. La personne B attire la personne A pour qu'elle clique sur un lien pour une image amusante. La balise "IMG" contient des valeurs pour les entrées de formulaire de bank.com, qui transféreront effectivement un certain montant du compte de la personne A vers le compte de la personne B. Si bank.com n'a pas d'authentification secondaire pour la personne A avant le transfert des fonds, l'attaque réussira.