CSRF : de vrais problèmes

le 04/02/2008 à 21:47
CSRF : de vrais problèmes
Les CSRF sont parfois écartées du revers de la main, comme un problème bénin, mais on commence à voir des applications réelles : comme le cas de David Airey qui s'est fait détourner son nom de domaine durant ses vacances pour un problème de CSRF sur GMail.

Le virus insérait un filtre supplémentaire dans GMail, qui envoyait une copie de tous les messages à une autre adresse : celle du pirate. A partir de la, le pirate a pu demander, légitimement, à son registrar les informations de transfert, et fait envoyer le nom de domaine ailleurs.

A la base, le virus a été injecté lorsque le pauvre David a visité un site vérolé, tout en ayant GMail ouvert en même temps. Le site a initié une requête pour ajouter le filtre, et la victime ne s'est aperçu de rien.

Lisez l'ensemble de l'histoire (qui se finit bien), pour bien mesurer les implications d'une petite faille CSRF. Au passage, il est recommandé de bien se déconnecter de tous les sites importants avant de surfer sur internet. A la Rasmus, vous pourriez aussi avoir un navigateur pour vos sites importants, un autre pour le surf de tous les jours. Ce n'est pas pratique, mais cela reste le plus sur.

- CSRF, Yup, Its Real Folks
- WARNING: Googles GMail security failure leaves my business sabotaged
- Collective effort restores David Airey.com

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours