Sécuriser ses applications web : Attaques CSRF
Ғылым және технология
Article ► grafikart.fr/tutoriels/faille...
Les failles CSRF, ou Cross-Site Request Forgery, permettent à un attaquant de faire exécuter à vos utilisateurs authentifié des actions contre leur gré en masquant un appel à votre site dans un formulaire ou une iframe.
Soutenez Grafikart:
Devenez premium ► grafikart.fr/premium
Retrouvez Grafikart sur:
Le site ► grafikart.fr
Twitter ► / grafikart_fr
Discord ► grafikart.fr/tchat
Пікірлер: 38
J'adore ces nouvelles vidéos sur la sécurité. Un résumé de toute les vérifications à faire avant la mise en ligne d'un projet. Merci!
merci beaucoup pour cette série, merci depuis le RDC
Salut Jonathan, j'ai beaucoup aimé la vidéo merci ! Je viens jst de débuter mon cours de sécurité à la fac !!!!
Je kiff cette nouvelle série de sécurité!
Merci beaucoup pour la vidéo, cette série est vraiment instructive. Aurons nous une vidéo sur le chiffrement de bout en bout ?
Merci 😮
Perfect
Merci Jonathan, je débute Laravel et je me demandais à quoi correspondait le @crsf, tu réponds à ma question de manière limpide.
Hello, merci pour ta vidéo. J'aimerai comprendre/m'assurer d'une chose. Le token csrf n'est utile que dans le cadre d'une connexion via cookie de session? Pour les système de jwt c'est inutile ?
La miniature m’empêche de dormir
Petite précision le same site none peut servir à l’intersite. Et nécessite secure=true pour forcer le https. J’aimerais bien savoir comment on génère un CSRF avec next un back qu’on ne maîtrise peut être pas totalement directement comme medusa ou directus.
dans la requête il y a aussi origin qui pointe a pirate, on peut pas bloquer ce de l'extérieur ?
j'ai une préoccupation ,je développe une application web dans laquelle je fais des demandes en AJAX ,vu que les informations récupérées du serveurs s'affiche en claire j'aimerais savoir s'il y a une possibilité de les chiffrer
le CSRF c'est surtout pour les applications côté serveur non? Si j'ai une SPA, mon JWT est stocké dans le localStorage, le localStorage est lié normalement à un domain. Les SPA sont donc naturellement prémunies contre le CSRF ou existe il toute de même une vulnérabilité au CSRF pour les SPA ?
salut symfony les gere de base non ?
@reelsergealain
3 ай бұрын
Oui oui
Jai une question un peut stupide mais je me pose beaucoup de questions alors svp je veux des réponses. Jai appris les base de php, apres jai apris symfofny et Laravel et je suis rester sur Laravel, la question c'est de savoir, a quel moment code un site sans Laravel
Ah génial, je ne connaissais pas la conf session.cookie_samesite=Lax dans php.ini. Je viens de l'ajouter. Merci beaucoup. Jusqu'à présent, je n'avais qu'un Middleware dans Slim.
@reelsergealain
3 ай бұрын
Svp vous développer des site internet sans framework ?
Dans le cadre d'une application non server-side type SPA ou Appli smartphone accédant aux données via une API (token), est-ce que le CSRF est applicable ?
@grafikart
3 ай бұрын
Non dans ce cas là ce n'est pas applicable car on ne peux pas fausser la soumission depuis un formulaire externe.
Grafikart est-il possible de faire une série java et spring boot?
Merci merci mais pourquoi mon navigateur envoi des cookies a des site qui ne sont pas les même aussi en plus comment le piratage devine URL auquel mon navigateur envoi ces cookies merci d'avance
Je suis pas sûr de bien comprendre. Dans le cadre du token csrf, le pirate n’a pas pu effectuer la modification ok mais il atterrit sur la page de gestion de profil de sa cible. À ce moment là ne peut-il pas modifier le nom du compte ? Le token n’est-il pas généré au moment où le hacker accède à la page de sa cible?
@masterchief9148
3 ай бұрын
De ce que j'ai compris, il va arriver sur un formulaire de connexion basique et commun à tout utilisateurs
@grafikart
3 ай бұрын
J'ai peut être mal expliqué l'attaque à la base. L'objectif de l'attaquant est de faire cliquer l'utilisateur sur le lien, c'est donc l'utilisateur qui va se retrouver sur sa page "compte" avec l'erreur "token invalide". N'hésite pas à me dire si c'est plus clair.
@LeValerTube
3 ай бұрын
@@grafikart ah mais c’est bien sûr 💡!!! Non non maintenant que tu me le dis c’était bien expliqué c’est juste moi qui me suit emmêlé les pinceaux 🙃! Merci d’avoir pris le temps de me répondre! Et merci pour toutes tes vidéos très instructives 👍!
Vive Laravel les amis!
@nexovitality
3 ай бұрын
...et vive symfony
@robinghisoni1841
3 ай бұрын
Laravel > all
alors je ne sais pas si c'est normal, mais le site n'existe plus ou n'affiche plus ses pages :(
@grafikart
3 ай бұрын
Lequel ?
Qui regarde pendant les révisions du BTS SIO SLAM ? 😂😂
@KingBechir-rj3nw
3 ай бұрын
Il reste 14 jours ….
@tamilangaming7844
3 ай бұрын
@@KingBechir-rj3nw haha ça arrive trop vite 😭😭. Bonne chance en tout cas faut tout donner
J'ai une préoccupation, en tant que Développeur FrontEnd (React, VueJS, etc..) lordqu'on implemente des vues on comment se prémunir contre ce genre d'attaque ?
@Chimerion86
2 ай бұрын
C’est ton backend qui doit interdire de recevoir des requêtes qui viennent d’un site qui n’est pas le tien, ça n’a rien à voir avec du code React ou le front de ton service.
@hermannfokou1914
2 ай бұрын
@@Chimerion86 je me disais aussi, merci pour ta réponse !