Tout sur les attack CSRF - Cross Site Request Forgery

[CyberSee]

Bonjour à tous :-)
Aujourd'hui, je vais tenter de vous expliquer ce qu'est une attaque de type CSRF (Cross Site Request Forgery). Pour y arriver, je vais vous raconter une petite histoire qui devrait bien résumer ce que c'est :-)

Luc, un gars de 17 ans, quitte la maison pour aller à une colonie de vacance en tant que moniteur pour les jeunes. Son père Pierre lui dit de ne pas hésiter à lui téléphoner s’il a des soucis d'argent durant son temps là-bas.

Environ 3 jours après être arrivé, Luc perd toutes ses économies en jouant au poker avec ses copains et n'a plus d'argent pour acheter ses cigarettes lol, il téléphone donc à sont père et lui explique qu'il c'est fait voler tout sont argent ce qu'il croit sans douter de lui lol.

Pierre se log donc sur un site de transfert bancaire et envoi 100$ à son fils. Il remplit le formulaire et clique sur "envoyez".

L'URL ressemble donc à ceci

Code :

www.victime.com/transfer.php?from=Pierre&to=Luc&amount=100

Le lendemain, Luc se connecte à sont compte et récupère l'argent. Le soir même, il laisse l'argent dans sa chambre et va faire un feu au milieu du camp pour une soirée conte et légende. Valérie qui passe par là, voie l'argent sur sont lit et le vole en ce disant que c'est exactement ce qu'il lui manquait pour acheter la grosse trousse de maquillage qu'elle avait vue la veille quand elle est allée au magasin avec ses deux autres copine...

Pauvre Luc lol quand il revient dans sa chambre, il se rend compte qu'il a plus d'argent. Il se dit qu'il ne peut quand même pas demander à son père un autre montant d'argent sous prétexte de s'être fait encore volé lol ... Il décide donc de déjouer le système.

Il se log au site internet de transfert bancaire et envois un message de remerciement à sont père qui ressemble a ceci.

Code :

Merci beaucoup pour l'argent papa. Je vais le garder sur moi pour éviter que ça se reproduise.

[ img ]www.victime.com/transfer.php?from=Pierre&to=Luc&amount=100[ /img ]

On se voit bientôt! Dit salut à maman de ma part!

Notez que Luc à utilisé du BBCode pour sa balise image, qui se traduit automatiquement en HTML l'hors de l'affichage.

Le lendemain matin, Pierre voit le message de son fils et décide de l'ouvrir pour voir ce qu'il contient. Son navigateur tente alors de télécharger la page et l'afficher comme une image. Parce que le lien fourni n'est pas une image valide, le navigateur affiche une image brisée. Toutefois, le serveur lui voit que Pierre à visité le lien, et transfère le 100 $ à Luc.

Tout cela se passe invisiblement et en quelques secondes. Bien qu'il soit peu probable qu'un site de transfert bancaire soit vulnérable à une attaque comme celle-ci, la faille reste tout de même très présente sur le web pour toute sorte de situations.

Veuillez citer la source et l'auteur si vous désirez prendre mon tuto.

Soyez intelligent et restez WhiteHat!
Par CyberSee