Web - Client

lundi 1er mai 2017, 11:31  #1
Web - Client CSRF 0 protection
Hatsumi
Hatsumi
  • 1 posts

Bonjour,

Je viens de finir le challenge XSS mais je ne comprend pas la différence entre une faille XSS et une faille CSRF, quelqu’un aurait la gentillesse de m’expliquer la différence entre les deux ? J’ai essayer de chercher sur le net mais les articles que je trouver comparer justement la faille CSRF comme une faille XSS like...

mardi 2 mai 2017, 11:02  #2
Web - Client CSRF 0 protection
Aytio
Aytio
  • 6 posts

Bonjour a toi,

Pour te répondre, beaucoup de gens assimile la faille CSRF a la faille XSS mais les deux sont presque je dirais "opposé", je m’explique, le but de l’utilisateur utilisant une faille XSS est de dérobée des information alors que la faille CSRF est d’obliger l’utilisateur victime d’executer des actions a son insu.

Petit exemple ? allez c’est parti :

XSS = Vol de cookie
CSRF = Je suis sur un forum et je veux faire bannir quelqu’un =) sympathique ! dans ce cas je fais en sorte que l’administrateur tombe dans ma faille CSRF en l’obligeant a bannir le compte, par une redirection par exemple qui le renvoie sur l’url de suppression : www.monsite.com/index.php?profile=mon_ennemi&action=supprimer.

Voili voila =)

mercredi 3 mai 2017, 10:33  #3
Web - Client CSRF 0 protection
Hark
Hark
  • 4 posts

Bonjour,

Je me permets de citer Wikipedia sur le sujet :
« Unlike cross-site scripting (XSS), which exploits the trust a user has for a particular site, CSRF exploits the trust that a site has in a user’s browser. »
Source : https://en.wikipedia.org/wiki/Cross-site_request_forgery

Traduit en Français :
« Contrairement à la XSS, qui exploite la confiance qu’a un utilisateur envers un site, la CSRF exploite la confiance qu’a un site envers le navigateur de l’utilisateur. »

Sur StackExhange, la différence est faite plus clairement :
La XSS permet de faire exécuter du code sur le navigateur de la victime.
La CSRF permet de faire faire exécuter une requête non désirée par le navigateur de la victime.
Source : https://security.stackexchange.com/questions/138987/difference-between-xss-and-csrf

Petit tableau comparatif : http://www.differencebetween.info/difference-between-xss-and-csrf

Tu peux trouver bien plus de ressources sur internet avec "XSS vs CSRF".

J’espère que ça peut t’aider à y voir plus clair.

mercredi 3 mai 2017, 10:33  #4
Web - Client CSRF 0 protection
Hark
Hark
  • 4 posts

Bonjour,

Je me permets de citer Wikipedia sur le sujet :
« Unlike cross-site scripting (XSS), which exploits the trust a user has for a particular site, CSRF exploits the trust that a site has in a user’s browser. »

Traduit en Français :
« Contrairement à la XSS, qui exploite la confiance qu’a un utilisateur envers un site, la CSRF exploite la confiance qu’a un site envers le navigateur de l’utilisateur. »

Sur StackExhange, la différence est faite plus clairement :
La XSS permet de faire exécuter du code sur le navigateur de la victime.
La CSRF permet de faire faire exécuter une requête non désirée par le navigateur de la victime.

Petit tableau comparatif : http://www.differencebetween.info/difference-between-xss-and-csrf

Tu peux trouver bien plus de ressources sur internet avec "XSS vs CSRF".

J’espère que ça peut t’aider à y voir plus clair.

Nouvelle réponse Nouvelle réponse   Nouveau sujet Nouveau sujet