Quiz sur les attaques CSRF

Questions and Answers

Qu'est-ce que le CSRF (Cross-Site Request Forgery) ?

• Un type de vulnérabilité de sécurité des applications web qui permet aux attaquants de voler des informations
• Un type de vulnérabilité de sécurité des applications web qui permet aux attaquants de trahir les utilisateurs en leur faisant exécuter des actions non intentionnelles (correct)
• Un type de vulnérabilité de sécurité des applications web qui permet aux attaquants de prendre le contrôle des sessions des utilisateurs
• Un type de vulnérabilité de sécurité des applications web qui permet aux attaquants de récupérer des mots de passe

Comment les attaquants exploitent-ils les vulnérabilités CSRF ?

• En créant des courriels qui lancent des attaques CSRF
• En envoyant des courriels phishing avec des liens malveillants
• En créant des sites web malveillants qui lancent des attaques CSRF
• Toutes les options ci-dessus (correct)

Quelle est l'étape 1 d'une attaque CSRF ?

• L'utilisateur reçoit un courriel phishing
• L'utilisateur submits une formulaire malveillant
• L'utilisateur se connecte à une application web vulnérable (correct)
• L'attaquant crée un site web malveillant

Quel est le type d'attaque CSRF qui utilise la méthode GET pour lancer une requête malveillante ?

GET-based CSRF (C)

Quel est l'un des moyens de prévenir les attaques CSRF ?

En validant les entrées utilisateur (B)

Quel est l'un des vecteurs d'attaque CSRF ?

Toutes les options ci-dessus (A)

Quel est le but ultime d'une attaque CSRF ?

De trahir les utilisateurs en leur faisant exécuter des actions non intentionnelles (B)

Qu'est-ce que la validation des entrées utilisateur peut prévenir ?

Toutes les options ci-dessus (B)

Qu'est-ce que la politique de même origine peut prévenir ?

Les attaques de différents domaines (C)

Quel est l'un des moyens de prévenir les attaques CSRF en générant un token unique pour chaque requête ?

Validation de token (D)

Flashcards are hidden until you start studying

Study Notes

CSRF Attacks

What is CSRF?

• Cross-Site Request Forgery (CSRF) is a type of web application security vulnerability
• Attackers trick users into performing unintended actions on a web application they are authenticated to

How CSRF Attacks Work

1. Step 1: User authentication
   • User logs in to a vulnerable web application
   • Session cookies are stored in the user's browser
2. Step 2: Attacker's trap
   • Attacker creates a malicious web page or email that appears legitimate
   • User clicks on the link or submits the form, unknowingly sending a request to the vulnerable web application
3. Step 3: CSRF exploit
   • The request appears to come from the user, as the session cookies are sent with the request
   • The web application performs the unintended action, as the request is authenticated

Types of CSRF Attacks

• GET-based CSRF: Attacker uses the GET method to perform an unintended action
• POST-based CSRF: Attacker uses the POST method to perform an unintended action
• Stored CSRF: Attacker stores the malicious request on a server, which is then executed by the user

CSRF Attack Vectors

• Email phishing: Attacker sends a malicious link or attachment to the user via email
• Malicious websites: Attacker hosts a malicious website that performs the CSRF attack
• Public Wi-Fi: Attacker uses public Wi-Fi to intercept and modify user requests

Preventing CSRF Attacks

• Token-based validation: Web application generates a unique token for each request
• Same-origin policy: Browser enforces same-origin policy to prevent cross-site requests
• Input validation: Web application validates user input to prevent unintended actions

CSRF : Attaques de type Cross-Site Request Forgery

Qu'est-ce que CSRF ?

• CSRF (Cross-Site Request Forgery) est une vulnérabilité de sécurité des applications web
• Les attaquants trompent les utilisateurs pour qu'ils effectuent des actions non intentionnelles sur une application web à laquelle ils sont authentifiés

Comment les attaques CSRF fonctionnent

• L'utilisateur se connecte à une application web vulnérable
• Les cookies de session sont stockés dans le navigateur de l'utilisateur
• L'attaquant crée une page web malveillante ou un courriel qui apparaît légitime
• L'utilisateur clique sur le lien ou soumet le formulaire, envoyant involontairement une requête à l'application web vulnérable
• La requête apparaît émaner de l'utilisateur, car les cookies de session sont envoyés avec la requête
• L'application web exécute l'action non intentionnelle, car la requête est authentifiée

Types d'attaques CSRF

• GET-based CSRF : L'attaquant utilise la méthode GET pour effectuer une action non intentionnelle
• POST-based CSRF : L'attaquant utilise la méthode POST pour effectuer une action non intentionnelle
• Stored CSRF : L'attaquant stocke la requête malveillante sur un serveur, qui est ensuite exécutée par l'utilisateur

Vecteurs d'attaque CSRF

• Phishing par e-mail : L'attaquant envoie un lien ou un attachement malveillant à l'utilisateur par e-mail
• Sites web malveillants : L'attaquant héberge un site web malveillant qui effectue l'attaque CSRF
• Réseaux Wi-Fi publics : L'attaquant utilise un réseau Wi-Fi public pour intercepter et modifier les requêtes de l'utilisateur

Prévention des attaques CSRF

• Validation par jeton : L'application web génère un jeton unique pour chaque requête
• Politique d'origine identique : Le navigateur impose la politique d'origine identique pour empêcher les requêtes intersites
• Validation des entrées : L'application web valide les entrées utilisateur pour empêcher les actions non intentionnelles