Introduction aux Cross Site Request Forgeries ou Sea Surf
Vous connaissez peut-être les attaques XSS qui consistent à injecter du code malveillant, et où l'utilisateur est directement victime de l'action du code (boîtes de dialogue, redirections, vols de cookies, etc.) ? Eh bien, ce tutoriel va vous apprendre un autre type de faille radicalement opposé à celui-ci. Il s'agit bien entendu des attaques CSRF. Présentation générale des CSRF Beaucoup moins répandues que les injections SQL,les attaques CSRF (autrement prononcées « Sea Surf ») exploitent les utilisateurs et les rendent complices de l'attaque. Notez que ce genre d'attaqueest spécifique aux applications web puisqu'elles exploitent essentiellement le navigateur de l'utilisateur. Le principe est enfantin : on incite un internaute à se rendre sur une page afin qu'une requête spécifique soit déclenchée à son insu. Un exemple concret Prenons un exemple concret afin que vous compreniez mieux le principe de ces failles. Quels sont les moyens pour se protéger des CSRF ? Vérifiez vos referers <? else
Installation
XSS - Cross-Site Scripting
Injection de code malicieux Les attaques de type Cross-Site Scripting (notée parfois XSS ou CSS) sont des attaques visant les sites web affichant dynamiquement du contenu utilisateur sans effectuer de contrôle et d'encodage des informations saisies par les utilisateurs. Les attaques Cross-Site Scripting consistent ainsi à forcer un site web à afficher du code HTML ou des scripts saisis par les utilisateurs. Le code ainsi inclus (le terme « injecté » est habituellement utilisé) dans un site web vulnérable est dit « malicieux ». Il est courant que les sites affichent des messages d'information reprenant directement un paramètre entré par l'utilisateur. L'exemple le plus classique est celui des « pages d'erreur 404 ». Ainsi, si aucun contrôle n'est effectué sur le contenu fourni par l'utilisateur, il est possible d'afficher du code HTML arbitraire sur une page web, afin d'en changer l'aspect, le contenu ou bien le comportement. Conséquences Persistance de l'attaque Exemple Attaque croisée
Portail officiel de la sécurité informatique - ANSSI - République française
menaces par email
Cross Site Scripting (XSS) Attacks: Methodology and Prevention | Golem Technologies
XSS, or Cross Site Scripting, allows an attacker to execute code on the target website from a user's browser, often causing side effects such as data compromise, or the stealing of a user session. This can allow an attacker to impersonate a user to steal their details, or act in their place without consent. This article aims to be the most comprehensive cross site scripting resource on the internet. For corrections or additions, please contact us. Article Contents Overview of Cross Site Scripting & Description (A Basic Introduction - What is Cross Site Scripting?) XSS is an attack using a browser side scripting language (usually JavaScript). Tricking a user to click on a link, via having them view an email, or having them view another site under attacker control. XSS arises in a variety of ways. There are two broad attack surfaces which must be protected from XSS. Example of a simple client side vulnerability: www.mysite.com/page.html? Example of a simple In-URL XSS attack: Page.php?
Information et veille juridique CNIL, sécurité et législation TIC
Produits ou Services My Privacy Space est un blog de veille juridique, partageant l'actualité autour de la Loi Informatique et Libertés, du règlement européen 95/46/CE, de la Commission Nationale de l'Informatique et des Libertés, la CNIL. De façon plus générale, le blog traite de la protection des données à caractère personnel. Le premier sujet abordé concerne la sécurité des données personnelles, en effet trop nombreuses sont les entreprises à ne pas se préoccuper de ce sujet sensible, par manque de temps ou de moyens. Ce sujet est traité autour des aspects techniques, comme la sécurisation, mais également juridiques. My Privacy Space agit ensuite en tant que relais d'actualités de la doctrine et des audits CNIL. Ce blog aborde également les questions d'avenir autour du correspondant informatique et libertés, le CIL, rôle créé en 2004 par la CNIL et institué depuis fin 2011 dans le répertoire ROME de Pôle Emploi. Points forts Informations complémentaires Source : myprivacyspace.net
sqlmap: outils de vérification des injections SQL
Cross Site Scripting (XSS) (Tutorials) - ThisisLegal.com
Cross Site Scripting (XSS) Tutorial Simply put, cross site scripting involves the injection of malicious code into a website. It is the most common method of attack at the moment, as most large sites will contain at least one XSS vulnerability. However, there is more than one type of XSS. The most commonly found is referred to as "non persistent" XSS. None Persistent XSS Non persistent as the title suggests means that the injected script isn't permanent and just appears for the short time the user is viewing the page. Site.com/search.php? Once something has been searched for, the script may display on the page something along the lines of: "Results for text here" Simply echoing your search string straight onto the page without performing any validation checks. Site.com/search.php? Site.com/search.php? If no sanitation checks are being performed by the search script, this will just be echoed straight onto the page, therefore displaying an alert or red text. Next there's persistent XSS
