EVOLUTION DES ATTAQUES DE TYPE « CROSS SITE REQUEST FORGERY »
par Louis  NYFFENEGGER (Hervé Schauer Consultants), Renaud  FEIL (Hervé Schauer Consultants)
Résumé
Cette intervention pour le SSTIC fait le point sur le danger que représentent les attaques par CSRF et les évolutions récentes apportées par les nouveaux standards du Web. Tout d'abord, nous montrerons que les attaques par CSRF sont simples à effectuer pour un attaquant, qu'elles peuvent avoir des conséquences importantes pour la sécurité des applications Web. Ensuite l'évolution de la menace au vue des nouvelles fonctionnalités des navigateurs récents mais aussi les difficultés pratiques liées à la réalisation d'attaques de type CSRF « en conditions réelles » seront détaillés. Des outils permettant d'automatiser ce type d'attaque seront présentés. Enfin, différentes solutions pour contrer ces attaques au niveau applicatif et au niveau utilisateur seront présentées.
Biographie
Ingénieur diplomé de l'INSA de Rouen, Louis Nyffenegger suit une spécialisation en sécurité informatique dans le master Sécurité des Systèmes d'Informations de l'Université de Rouen. Après un stage sur la sécurité des systèmes Windows et en particulier sur le fonctionnement du noyau Windows, il rejoint l'équipe du cabinet Hervé Schauer Consultants en 2006.
Biographie
Après une première expérience de 2 ans en tant qu'auditeur sécurité, Renaud Feil a rejoint HSC en 2007. Il a acquis une expérience significative dans la réalisation d'audits de sécurité de code source, notamment sur des technologies Web et sur plusieurs frameworks utilisés dans des projets atteignant plusieurs dizaines de milliers de jours / homme de développement. Il a déjà présenté par le passé le résultat de ses recherches lors de la conférence SSTIC et dans le magazine MISC. Il est diplômé du mastère SSIR de l'ENST.

Icon  Name                                                            Size  
[PARENTDIR] Parent Directory - [   ] SSTIC07-Feil_Nyffenegger-Cross_Site_Request_Forgery.pdf 2.4M [   ] SSTIC07-article-Feil_Nyffenegger-Cross_Site_Request_Forgery.pdf 605K