|
Titre: Tout sur les attack CSRF Posté par: cybersee le 24 Août 2011 à 20:11:05 Bonjour à tous :-)
Aujourd'hui, je vais tenter de vous expliquer ce qu'est une attaque de type CSRF (Cross Site Request Forgery). Pour y arriver, je vais vous raconter une petite histoire qui devrait bien résumer ce que c'est :-) Luc, un gars de 17 ans, quitte la maison pour aller à une colonie de vacances en tant que moniteur pour les jeunes. Son père Pierre lui dit de ne pas hésiter à lui téléphoner s’il a des soucis d'argent durant son temps là-bas. Environ 3 jours après être arrivé, Luc perd toutes ses économies en jouant au poker avec ses copains et n'a plus d'argent pour acheter ses cigarettes, il téléphone donc à sont père et lui explique qu'il c'est fait voler tout sont argent ce qu'il croit sans douter de lui. Pierre se log donc sur un site de transfert bancaire et envoi 100$ à son fils. Il remplit le formulaire et clique sur "envoyez". L'URL ressemble donc à ceci Code: www.victime.com/transfer.php?from=Pierre&to=Luc&amount=100 Le lendemain, Luc se connecte à son compte et récupère l'argent. Le soir même, il laisse l'argent dans sa chambre et puis quitte faire un feu au milieu du camp pour une soirée conte et légende. Valérie qui passe par là, voie l'argent sur sont lit et le vole en ce disant que c'est exactement ce qu'il lui manquait pour acheter la grosse trousse de maquillage qu'elle avait vue la veille quand elle est allée au magasin avec ses deux autres copine... Pauvre Luc... quand il revient dans sa chambre, il se rend compte qu'il a plus d'argent. Il se dit qu'il ne peut quand même pas demander à son père un autre montant d'argent sous prétexte de s'être fait encore voler ... Il décide donc de déjouer le système. Il se log au site internet de transfert bancaire et envois un message de remerciement à sont père qui ressemble a ceci. Code: Merci beaucoup pour l'argent papa. Je vais le garder sur moi pour éviter que ça se reproduise. Notez que Luc à utilisé du BBCode pour sa balise image, qui se traduit automatiquement en HTML l'hors de l'affichage. Le lendemain matin, Pierre voit le message de son fils et décide de l'ouvrir pour voir ce qu'il contient. Son navigateur tente alors de télécharger la page et l'afficher comme une image. Parce que le lien fourni n'est pas une image valide, le navigateur affiche une image brisée. Toutefois, le serveur lui voit que Pierre a visité le lien, et transfère le 100 $ à Luc. Tout cela se passe invisiblement et en quelques secondes. Bien qu'il soit peu probable qu'un site de transfert bancaire soit vulnérable à une attaque comme celle-ci, la faille reste tout de même très présente sur le web pour toute sorte de situations. Veuillez citer la source et l'auteur si vous désirez prendre mon tuto. Soyez intelligent et restez WhiteHat! Par CyberSee - www.N-PN.info Titre: Re : Tout sur les attack CSRF Posté par: the lsd le 24 Août 2011 à 20:20:43 J'aime bien le principe de l'histoire, c'est frais, ca change un peu de d'habitude.
Par contre, il y a plusieurs fautes, et une paire de lol qui me dérangent. Quelques imprécisions aussi. Le coup du BBCode, il faut expliquer, à mon avis, que le père et le fils sont sur un forum PhpBB. Il faudrait aussi mettre en avant que le père a toujours sa session d'ouverte sur le site de la banque. Sinon, ce n'est plus une CSRF, mais une attaque par rejeu. Enjoy The lsd Titre: Re : Tout sur les attack CSRF Posté par: cybersee le 24 Août 2011 à 20:50:46 Merci the lsd :-)
J'ai modifié un peut l'histoire. Le BBCode dans ce cas-ci est offert par le système interne de messagerie de la banque de transfert et non via PHPbb. J’ai clarifié un peu. Par contre, pour les fautes, je ne peux pas faire mieux, je suis anglophone :-) Titre: Re : Tout sur les attack CSRF Posté par: cybersee le 26 Août 2011 à 12:17:03 Si quelqu'un ce sent d'attaque pour corriger et mettre en ligne ce serait génial ;-)
Titre: Re : Tout sur les attack CSRF Posté par: _o_ le 26 Août 2011 à 12:32:49 Un petit mot rapide (je manque de temps) : le problème est que les relecteurs ne sont pas là pour corriger les fautes de l'auteur, justement. C'est un peu facho, mais l'idée qui est derrière est que c'est à l'auteur de faire cet effort (et accessoirement, ça ne peut que lui faire du bien).
Sinon, sur le fond, pareil que the_lsd. Titre: Re : Tout sur les attack CSRF Posté par: cybersee le 26 Août 2011 à 13:41:39 Il doit pas avoir tant de fautes que ça quand même lol moi en tout cas, je ne les vois pas ^^
Titre: Re : Tout sur les attack CSRF Posté par: cybersee le 04 Novembre 2011 à 21:16:30 Un ami m'a corrigé :-)
Vous allez pouvoir le mettre en ligne Titre: Re : Tout sur les attack CSRF Posté par: S0410N3 le 05 Novembre 2011 à 00:16:53 Il reste plein (vraiment plein) de fautes... C'en est limite insultant après correction...
Titre: Re : Tout sur les attack CSRF Posté par: cybersee le 05 Novembre 2011 à 00:45:12 J'ai peut-être fait un mauvais copier coller ... je viens de le modifier.
Titre: Re : Tout sur les attack CSRF Posté par: S0410N3 le 05 Novembre 2011 à 00:53:03 Ca pique encore les yeux...
Titre: Re : Tout sur les attack CSRF Posté par: cybersee le 05 Novembre 2011 à 02:03:22 Bon moi je suis a cour d'idée la ... c'est quoi qui pique les yeux ...
|