EVOLUTION DES ATTAQUES DE TYPE «
CROSS SITE REQUEST FORGERY » par Louis NYFFENEGGER
(Hervé Schauer Consultants), Renaud
FEIL (Hervé Schauer Consultants)
Résumé
Cette intervention pour le SSTIC fait le point sur le danger que
représentent les attaques par CSRF et les évolutions récentes apportées
par les nouveaux standards du Web.
Tout d'abord, nous montrerons que les attaques par CSRF sont simples à
effectuer pour un attaquant, qu'elles peuvent avoir des conséquences
importantes pour la sécurité des applications Web.
Ensuite l'évolution de la menace au vue des nouvelles fonctionnalités
des navigateurs récents mais aussi les difficultés pratiques liées à la
réalisation d'attaques de type CSRF « en conditions réelles » seront
détaillés. Des outils permettant d'automatiser ce type d'attaque seront
présentés.
Enfin, différentes solutions pour contrer ces attaques au niveau
applicatif et au niveau utilisateur seront présentées.
Biographie
Ingénieur diplomé de l'INSA de Rouen, Louis Nyffenegger suit une
spécialisation en sécurité informatique dans le master Sécurité des
Systèmes d'Informations de l'Université de Rouen. Après un stage sur la
sécurité des systèmes Windows et en particulier sur le fonctionnement
du noyau Windows, il rejoint l'équipe du cabinet Hervé Schauer
Consultants en 2006.
Biographie
Après une première expérience de 2 ans en tant qu'auditeur sécurité,
Renaud Feil a rejoint HSC en 2007. Il a acquis une expérience
significative dans la réalisation d'audits de sécurité de code source,
notamment sur des technologies Web et sur plusieurs frameworks utilisés
dans des projets atteignant plusieurs dizaines de milliers de jours /
homme de développement. Il a déjà présenté par le passé le résultat de
ses recherches lors de la conférence SSTIC et dans le magazine MISC. Il
est diplômé du mastère SSIR de l'ENST.
Name Size ![[PARENTDIR]](/icons/back.gif){kind=icon}
Parent Directory -
![[ ]](/icons/layout.gif){kind=icon}
SSTIC07-Feil_Nyffenegger-Cross_Site_Request_Forgery.pdf 2.4M