Voir la source de Web:Cross-Site Request Forgery - CSRF - XSRF

= Présentation =
Le <b>Cross-Site Request Forgery</b>, abrégé <b>CSRF</b> ou <b>XSRF</b>, est un type de vulnérabilité des <b>services d'authentification web</b>.

L’objet de cette attaque est de transmettre <b>à un utilisateur authentifié</b> une requête HTTP falsifiée qui pointe sur une <b>action interne au site</b>, afin qu'il l'exécute sans en avoir conscience et en utilisant ses propres droits. L’utilisateur devient donc complice d’une attaque sans même s'en rendre compte. L'attaque étant actionnée par l'utilisateur, un grand nombre de systèmes d'authentification sont contournés.

Les caractéristiques du <b>CSRF</b> sont un type d'attaque qui :
*Implique un site qui repose sur l'authentification globale d'un utilisateur
*Exploite cette confiance dans l'authentification pour autoriser des actions implicitement
*Envoie des requêtes HTTP à l'insu de l'utilisateur qui est dupé pour déclencher ces actions

Les sites sensibles au <b>CSRF</b> sont ceux qui acceptent les actions sur le simple fait de <b>l'authentification à un instant donné</b> de l'utilisateur et non sur une <b>autorisation explicite de l'utilisateur</b> pour une action donnée.

Il est important de souligner que ces attaques peuvent aussi être menées sur des intranets pour permettre à un attaquant d'en récupérer des informations.

= Exploitation =
L'exploitation s'apparente à celle d'une [[Cross-Site_Scripting_-_XSS]].

[[Category:Hacking]][[Category:Web]]