pense-bête de bruno sanchizAccueil > Trucs Informatiques > hacking > attaques coté client
attaques coté client
Publié le 2 janvier 2019, dernière mise-à-jour le 1er janvier 2019, > 1 visites, >> 9056 visites totales.
https://www.root-me.org/fr/Challenges/Web-Client/
- CSRF
- on est connecté sur un site
- un mail / un site télécharge une page http du 1er site
- notre ordi va sur la page du site avec des GET
- DOCS CSRF
- http://repository.root-me.org/Exploitation%20-%20Web/FR%20-%20les%20attaques%20CSRF.pdf
- http://repository.root-me.org/Exploitation%20-%20Web/EN%20-%20CSRF:%20Attack%20and%20defense.pdf
- http://repository.root-me.org/Exploitation%20-%20Web/EN%20-%20OWASP%20Cross-site%20Request%20Forgery%20CSRF.pdf
- Confused Deputy : http://www.cis.upenn.edu/~KeyKOS/ConfusedDeputy.html
- protections client contre CRSF
- ne pas utiliser un client mail qui interprète les codes HTML.
- ne pas sauvegarder les identifiants dans le navigateur.
- ne pas utiliser la fonction "remember me" proposée par de nombreux sites.
- ne pas suivre les liens suspects.
- se déconnecter lorsque vous avez fini de visiter les sites sensibles.
- protection serveur contre CSRF
- le referer ; plusieurs navigateurs ; proxy
- un jeton aléatoire caché à chaque requête (ssl )
- noms de variables aléatoires
- double validation, captcha
- mots de passe non défauts
