This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "4.7.5 Tester les CSRF (OTG-SESS-005)"

From OWASP
Jump to: navigation, search
(Created page with "{{Template:OWASP Testing Guide v4}} ==Sommaire== Les CSRF sont des attaques qui forcent les utilisateurs à exécuter des actions non désirées sur une application sur...")
 
Line 8: Line 8:
 
Les CSRF reposent sur les éléments suivants :
 
Les CSRF reposent sur les éléments suivants :
  
1) Web browser behavior regarding the handling of session-related information such as cookies and http authentication information;<br>
+
1) Le comportement du navigateur web concernant le traitement des informations de sessions tels que les cookies et les authentifications HTTP ;<br>
2) Knowledge by the attacker of valid web application URLs;<br>
+
2) La connaissance par l'attaquant d'URLs valides de l'application web ;<br>
3) Application session management relying only on information which is known by the browser;<br>
+
3) Le management des sessions applicatives dépendants seulement d'informations connues par le navigateur ;<br>
4) Existence of HTML tags whose presence cause immediate access to an http[s] resource; for example the image tag ''img''.<br>
+
4) L'existence de tags HTML dont la présence entraine un accès immédiat à des ressources HTTP(S) ; par exemple des tags image ''img''.<br>
  
  
Points 1, 2, and 3 are essential for the vulnerability to be present, while point 4 is accessory and facilitates the actual exploitation, but is not strictly required.
+
Les points 1, 2 et 3 sont essentiels pour la présence de vulnérabilité, alors que le point 4 est accessoire et facilite l'exploitation réelle, mais n'est pas indispensable.
  
  
Point 1) Browsers automatically send information which is used to identify a user session. Suppose ''site'' is a site hosting a web application, and the user ''victim'' has just authenticated himself to ''site''. In response, ''site'' sends ''victim'' a cookie which identifies  requests sent by ''victim'' as belonging to ''victim’s'' authenticated session. Basically, once the browser receives the cookie set by ''site'', it will automatically send it along with any further requests directed to ''site''.
+
Point 1) Les navigateurs envoient l'information utilisée pour identifier une session utilisateur. Supposons que ''site'' est un site hébergeant une application web, et l'utilisateur ''victime'' vient de s'authentifier sur ''site''. En réponse, ''site'' envoie à ''victime'' un cookie qui identifie les requêtes de ''victime'' comme appartenant à sa session authentifiée. En gros, une fois que le navigateur a reçu le cookie créé par ''site'', il renverra ce cookie avec toutes les requêtes suivantes destinées à ''site''.
  
  
Point 2) If the application does not make use of session-related information in URLs, then it means that the application URLs, their parameters, and legitimate values may be identified (either by code analysis or by accessing the application and taking note of forms and URLs embedded in the HTML/JavaScript).
+
Point 2) Si l'application n'utilise pas les information de session des URLs, cela signifie que les URLs de l'application, leurs paramètres, et valeurs légitimes peuvent être identifiées (par analyse de code, ou en accédant à l'application et en notant les formulaires et URLs embarqués dans HTML/JavaScript).
  
  
Point 3)"Known by the browser” refers to information such as cookies, or http-based authentication information (such as Basic Authentication; and not form-based authentication), which are stored by the browser and subsequently resent at each request directed towards an application area requesting that authentication. The vulnerabilities discussed next apply to applications which rely entirely on this kind of information to identify a user session.
+
Point 3) "Connus par le navigateur" renvoit à des informations comme les cookies, les information d'authentification HTTP (tels que Basic Authentication ; et pas les authentifications basées sur des formulaires), qui sont stockées par le navigateur et renvoyées ultérieurement lors de chaque requête vers la partie d'une application qui demande cette authentification. Les vulnérabilités présentées plus bas concernent les applications qui reposent entièrement sur ce genre d'informations pour identifier une session utilisateur.
  
  
Suppose, for simplicity's sake, to refer to GET-accessible URLs (though the discussion applies as well to POST requests). If ''victim'' has already authenticated himself, submitting another request causes the cookie to be automatically sent with it (see picture, where the user accesses an application on www.example.com).
+
Prenons un cas simple : des URLs accessibles en GET (bien que cela puisse s'appliquer aussi bien à des requêtes POST). Si ''victime' s'est déjà authentifié, le cookie sera automatiquement renvoyé avec une autre requête (cf. l'image suivante, où l'utilisateur accède à l'application www.example.com).
  
  
Line 32: Line 32:
  
  
The GET request could be originated in several different ways:
+
La requête GET peut être générée de différentes manières :
  
* by the user, who is using the actual web application;
+
* Par l'utilisateur, qui est en train de naviguer l'application web ;
* by the user, who types the URL directly in the browser;
+
* Par l'utilisateurn qui tappe l'URL directement dans le navigateur ;
* by the user, who follows a link (external to the application) pointing to the URL.
+
* Par l'utilisateur, qui suit un lien (externe à l'application) pointant sur l'URL.
  
 +
Ces requêtes sont indifférenciables par l'application. La troisième en particulier peut être très dangereuse. Il y a de nombreuses techniques (et vulnérabilités) qui peuvent masquer les propriétés réelles d'un lien. Le lien peut être inséré dans un email, ou apparaître sur un site malicieux vers lequel l'utilisateur est envoyé, par exemple un lien apparaissant dans un contenu hébergé ailleurs (un autre site web, un email en HTML, etc.) et pointant vers une ressource de l'application. Si l'utilisateur clique sur le lien, comme il était déjà authentifié sur l'application web ''site'', le navigateur envoie une requête GET vers l'application, accompagnée de l'information d'authentification (le cookie identifiant de session). Cela exécute donc une opération valide sur l'application, ce qui n'était probablement pas ce que l'utilisateur pensait faire. Pour imaginer les conséquences, il faut penser à un lien malicieux déclenchant un transfert sur une application bancaire.
  
These invocations are indistinguishable by the application. In particular, the third may be quite dangerous. There are a number of techniques (and of vulnerabilities) which can disguise the real properties of a link. The link can be embedded in an email message, or appear in a malicious web site where the user is lured, i.e., the link appears in content hosted elsewhere (another web site, an HTML email message, etc.) and points to a resource of the application. If the user clicks on the link, since it was already authenticated by the web application on ''site'', the browser will issue a GET request to the web application, accompanied by authentication information (the session id cookie). This results in a valid operation performed on the web application and probably not what the user expects to happen. Think of a malicious link causing a fund transfer on a web banking application to appreciate the implications.
 
  
 
+
En utilisant des marqueurs tels que ''img'', comme indiqué dans le point 4 plus haut, il n'est même pas nécessaire que l'utilisateur clique sur un lien particulier. Supposons que l'attaquant envoie un email à l'utilisateur, l'incitant à vitier une URL renvoyant sur une page contenant le code HTML (très simplifié) suivant :
By using a tag such as ''img'', as specified in point 4 above, it is not even necessary that the user follows a particular link. Suppose the attacker sends the user an email inducing him to visit an URL referring to a page containing the following (oversimplified) HTML:
 
  
 
<pre>
 
<pre>
Line 57: Line 56:
  
  
What the browser will do when it displays this page is that it will try to display the specified zero-width (i.e., invisible) image as well. This results in a request being automatically sent to the web application hosted on ''site''. It is not important that the image URL does not refer to a proper image, its presence will trigger the request specified in the ''src'' field anyway. This happens provided that image download is not disabled in the browsers, which is a typical configuration since disabling images would cripple most web applications beyond usability.
+
Quand il va afficher cette page, le navigateur va essayer d'afficher l'image spécifiée, de taille nulle (donc invisible). Cela génère une requête automatique vers l'application web hébergée sur ''site''. Le fait que l'URL de l'image ne pointe pas vers une véritable image n'a aucune importance, de toute façon, sa présence déclenche la requête indiquée dans le champs ''src''. Cela fonctionne à condition que le téléchargement automatique des images ne soit pas désactivé dans le navigateur, mais c'est une configuration commune puisque désactiver les images rendrait inutilisable la plupart des applications web.
  
  
The problem here is a consequence of the following facts:
+
Le problème, ici, est la conséquence des faits suivants :
  
* there are HTML tags whose appearance in a page result in automatic http request execution (''img'' being one of those);
+
* Il y a des marqueurs HTML dont la présence dans une page provoque des requêtes HTTP automatiques (''img'' est l'un d'eux) ;
* the browser has no way to tell that the resource referenced by ''img ''is not actually an image and is in fact not legitimate;
+
* Le navigateur n'a aucun moyen de détecter si la ressource référencée par ''img'' n'est en fait pas une image et est illégitime ;
* image loading happens regardless of the location of the alleged image, i.e., the form and the image itself need not be located in the same host, not even in the same domain. While this is a very handy feature, it makes difficult to compartmentalize applications.
+
* le chargement d'images est effecif quelque soit la localisation de la prétendue image, c'est-à-dire que le formulaire et l'image elle-même n'ont pas besoin d'être localisés sur le même serveur, ni même dans le même domaine. Bien que ce soit une fonctionnalité pratique, cela rend difficile la compartimentalisation des applications.
  
  
It is the fact that HTML content unrelated to the web application may refer components in the application, and the fact that the browser automatically composes a valid request towards the application, that allows such kind of attacks. As no standards are defined right now, there is no way to prohibit this behavior unless it is made impossible for the attacker to specify valid application URLs. This means that valid URLs must contain information related to the user session, which is supposedly not known to the attacker and therefore make the identification of such URLs impossible.
+
C'est le fait qu'un contenu HTML indépendant de l'application web puisse référencer des composants de l'application, et le fait que le navigateur compose automatiquement un requête valide vers l'application, qui permet u ntel type d'attaques. Comme aucun standard n'est défini actuellement, il n'y a aucun moyen d'interdire ce comportement sauf à rendre impossible à l'attaquant de référencer des URLs valides vers l'application. Cela signifie que les URLs doivent contenir des information en rapport avec la session utilisateur, qui ne sont pas supposées être connues de l'attaquant, et ainsi rendre impossible l'identification de telles URLs.
  
  
The problem might be even worse, since in integrated mail/browser environments simply displaying an email message containing the image would result in the execution of the request to the web application with the associated browser cookie.
+
Le problème peut être encore plus grave, puisque l'intégration d'environnement email/navigateur affichant simplement un message email contenant des images pourrait entraîner l'exécution de la requête sur l'application web avec le cookie associé dans le navigateur.
  
  
Things may be obfuscated further, by referencing seemingly valid image URLs such as
+
Une obfuscation suplémentaire est possible, en référençant des URLs d'images apparamment valides :
  
 
  <img src=”https://[attacker]/picture.gif” width=”0” height=”0”>
 
  <img src=”https://[attacker]/picture.gif” width=”0” height=”0”>
  
where [attacker] is a site controlled by the attacker, and by utilizing a redirect mechanism on
+
ici [attacker] est un site controlé par l'attaquant, et utilisant un mécanisme de redirection sur
 
  http://[attacker]/picture.gif to http://[thirdparty]/action.
 
  http://[attacker]/picture.gif to http://[thirdparty]/action.
  
  
Cookies are not the only example involved in this kind of vulnerability. Web applications whose session information is entirely supplied by the browser are vulnerable too. This includes applications relying on HTTP authentication mechanisms alone, since the authentication information is known by the browser and is sent automatically upon each request. This DOES NOT include form-based authentication, which occurs just once and generates some form of session-related information (of course, in this case, such information is expressed simply as a cookie and can we fall back to one of the previous cases).
+
Les cookies ne sont pas le seul exemple impliqué dans ce type de vulnérabilités. Les applications web dont les informations de session sont entièrement fournies par le navigateur sont aussi vulnérables. Cela inclut les applications reposant uniquement sur le mécanisme d'authentification HTTP, puisque l'information d'authentification est connue du navigateur et est envoyée automatiquement lors de chaque requête. Cela n'inclut PAS l'authentification basée sur formulaire, qui n'intervient qu'une fois et génère une forme quelconque d'information de session (bien sûr, dans ce cas, une telle information est exprimée simplement à l'aide d'un cookie et l'on peut retomber dans les cas précédents).
  
  
'''Sample scenario.'''
+
'''Exemple de scenarii.'''
  
 
Let’s suppose that the victim is logged on to a firewall web management application. To log in, a user has to authenticate himself and session information is stored in a cookie.
 
Let’s suppose that the victim is logged on to a firewall web management application. To log in, a user has to authenticate himself and session information is stored in a cookie.

Revision as of 22:44, 25 November 2014

This article is part of the new OWASP Testing Guide v4.

Back to the OWASP Testing Guide v4 ToC:
   https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents
Back to the OWASP Testing Guide Project:
   https://www.owasp.org/index.php/OWASP_Testing_Project

Sommaire

Les CSRF sont des attaques qui forcent les utilisateurs à exécuter des actions non désirées sur une application sur laquelle ils sont actuellement authentifiés. Avec un peu d'ingénierie sociale, par exemple en envoyant un lien par email ou messagerie instantanée, un attaquant peut forcer les utilisateurs d'une application web à exécuter les actions qu'il veut. Une exploitation réussie de CSRF peut compromettre les données de l'utilisateur, si celui-ci est un utilisateur normal. Si c'est un compte administrateur qui est visé, une attaque CSRF peut compromettre l'application web dans son ensemble.


Les CSRF reposent sur les éléments suivants :

1) Le comportement du navigateur web concernant le traitement des informations de sessions tels que les cookies et les authentifications HTTP ;
2) La connaissance par l'attaquant d'URLs valides de l'application web ;
3) Le management des sessions applicatives dépendants seulement d'informations connues par le navigateur ;
4) L'existence de tags HTML dont la présence entraine un accès immédiat à des ressources HTTP(S) ; par exemple des tags image img.


Les points 1, 2 et 3 sont essentiels pour la présence de vulnérabilité, alors que le point 4 est accessoire et facilite l'exploitation réelle, mais n'est pas indispensable.


Point 1) Les navigateurs envoient l'information utilisée pour identifier une session utilisateur. Supposons que site est un site hébergeant une application web, et l'utilisateur victime vient de s'authentifier sur site. En réponse, site envoie à victime un cookie qui identifie les requêtes de victime comme appartenant à sa session authentifiée. En gros, une fois que le navigateur a reçu le cookie créé par site, il renverra ce cookie avec toutes les requêtes suivantes destinées à site.


Point 2) Si l'application n'utilise pas les information de session des URLs, cela signifie que les URLs de l'application, leurs paramètres, et valeurs légitimes peuvent être identifiées (par analyse de code, ou en accédant à l'application et en notant les formulaires et URLs embarqués dans HTML/JavaScript).


Point 3) "Connus par le navigateur" renvoit à des informations comme les cookies, les information d'authentification HTTP (tels que Basic Authentication ; et pas les authentifications basées sur des formulaires), qui sont stockées par le navigateur et renvoyées ultérieurement lors de chaque requête vers la partie d'une application qui demande cette authentification. Les vulnérabilités présentées plus bas concernent les applications qui reposent entièrement sur ce genre d'informations pour identifier une session utilisateur.


Prenons un cas simple : des URLs accessibles en GET (bien que cela puisse s'appliquer aussi bien à des requêtes POST). Si victime' s'est déjà authentifié, le cookie sera automatiquement renvoyé avec une autre requête (cf. l'image suivante, où l'utilisateur accède à l'application www.example.com).


Session riding.GIF


La requête GET peut être générée de différentes manières :

  • Par l'utilisateur, qui est en train de naviguer l'application web ;
  • Par l'utilisateurn qui tappe l'URL directement dans le navigateur ;
  • Par l'utilisateur, qui suit un lien (externe à l'application) pointant sur l'URL.

Ces requêtes sont indifférenciables par l'application. La troisième en particulier peut être très dangereuse. Il y a de nombreuses techniques (et vulnérabilités) qui peuvent masquer les propriétés réelles d'un lien. Le lien peut être inséré dans un email, ou apparaître sur un site malicieux vers lequel l'utilisateur est envoyé, par exemple un lien apparaissant dans un contenu hébergé ailleurs (un autre site web, un email en HTML, etc.) et pointant vers une ressource de l'application. Si l'utilisateur clique sur le lien, comme il était déjà authentifié sur l'application web site, le navigateur envoie une requête GET vers l'application, accompagnée de l'information d'authentification (le cookie identifiant de session). Cela exécute donc une opération valide sur l'application, ce qui n'était probablement pas ce que l'utilisateur pensait faire. Pour imaginer les conséquences, il faut penser à un lien malicieux déclenchant un transfert sur une application bancaire.


En utilisant des marqueurs tels que img, comme indiqué dans le point 4 plus haut, il n'est même pas nécessaire que l'utilisateur clique sur un lien particulier. Supposons que l'attaquant envoie un email à l'utilisateur, l'incitant à vitier une URL renvoyant sur une page contenant le code HTML (très simplifié) suivant : 

<html><body>

...

<img src=”https://www.company.example/action” width=”0” height=”0”>

...

</body></html>


Quand il va afficher cette page, le navigateur va essayer d'afficher l'image spécifiée, de taille nulle (donc invisible). Cela génère une requête automatique vers l'application web hébergée sur site. Le fait que l'URL de l'image ne pointe pas vers une véritable image n'a aucune importance, de toute façon, sa présence déclenche la requête indiquée dans le champs src. Cela fonctionne à condition que le téléchargement automatique des images ne soit pas désactivé dans le navigateur, mais c'est une configuration commune puisque désactiver les images rendrait inutilisable la plupart des applications web.


Le problème, ici, est la conséquence des faits suivants :

  • Il y a des marqueurs HTML dont la présence dans une page provoque des requêtes HTTP automatiques (img est l'un d'eux) ;
  • Le navigateur n'a aucun moyen de détecter si la ressource référencée par img n'est en fait pas une image et est illégitime ;
  • le chargement d'images est effecif quelque soit la localisation de la prétendue image, c'est-à-dire que le formulaire et l'image elle-même n'ont pas besoin d'être localisés sur le même serveur, ni même dans le même domaine. Bien que ce soit une fonctionnalité pratique, cela rend difficile la compartimentalisation des applications.


C'est le fait qu'un contenu HTML indépendant de l'application web puisse référencer des composants de l'application, et le fait que le navigateur compose automatiquement un requête valide vers l'application, qui permet u ntel type d'attaques. Comme aucun standard n'est défini actuellement, il n'y a aucun moyen d'interdire ce comportement sauf à rendre impossible à l'attaquant de référencer des URLs valides vers l'application. Cela signifie que les URLs doivent contenir des information en rapport avec la session utilisateur, qui ne sont pas supposées être connues de l'attaquant, et ainsi rendre impossible l'identification de telles URLs.


Le problème peut être encore plus grave, puisque l'intégration d'environnement email/navigateur affichant simplement un message email contenant des images pourrait entraîner l'exécution de la requête sur l'application web avec le cookie associé dans le navigateur.


Une obfuscation suplémentaire est possible, en référençant des URLs d'images apparamment valides : 

<img src=”https://[attacker]/picture.gif” width=”0” height=”0”>

ici [attacker] est un site controlé par l'attaquant, et utilisant un mécanisme de redirection sur 

http://[attacker]/picture.gif to http://[thirdparty]/action.


Les cookies ne sont pas le seul exemple impliqué dans ce type de vulnérabilités. Les applications web dont les informations de session sont entièrement fournies par le navigateur sont aussi vulnérables. Cela inclut les applications reposant uniquement sur le mécanisme d'authentification HTTP, puisque l'information d'authentification est connue du navigateur et est envoyée automatiquement lors de chaque requête. Cela n'inclut PAS l'authentification basée sur formulaire, qui n'intervient qu'une fois et génère une forme quelconque d'information de session (bien sûr, dans ce cas, une telle information est exprimée simplement à l'aide d'un cookie et l'on peut retomber dans les cas précédents).


Exemple de scenarii.

Let’s suppose that the victim is logged on to a firewall web management application. To log in, a user has to authenticate himself and session information is stored in a cookie.


Let's suppose the firewall web management application has a function that allows an authenticated user to delete a rule specified by its positional number, or all the rules of the configuration if the user enters ‘*’ (quite a dangerous feature, but it will make the example more interesting). The delete page is shown next. Let’s suppose that the form – for the sake of simplicity – issues a GET request, which will be of the form 

https://[target]/fwmgt/delete?rule=1

(to delete rule number one) 

https://[target]/fwmgt/delete?rule=*

(to delete all rules).


The example is purposely quite naive, but shows in a simple way the dangers of CSRF.

Session Riding Firewall Management.gif


Therefore, if we enter the value ‘*’ and press the Delete button, the following GET request is submitted. 

https://www.company.example/fwmgt/delete?rule=*


with the effect of deleting all firewall rules (and ending up in a possibly inconvenient situation).

Session Riding Firewall Management 2.gif


Now, this is not the only possible scenario. The user might have accomplished the same results by manually submitting the URL 

https://[target]/fwmgt/delete?rule=*


or by following a link pointing, directly or via a redirection, to the above URL. Or, again, by accessing an HTML page with an embedded img tag pointing to the same URL.


In all of these cases, if the user is currently logged in the firewall management application, the request will succeed and will modify the configuration of the firewall. One can imagine attacks targeting sensitive applications and making automatic auction bids, money transfers, orders, changing the configuration of critical software components, etc.


An interesting thing is that these vulnerabilities may be exercised behind a firewall; i.e., it is sufficient that the link being attacked be reachable by the victim (not directly by the attacker). In particular, it can be any Intranet web server; for example, the firewall management station mentioned before, which is unlikely to be exposed to the Internet. Imagine a CSRF attack targeting an application monitoring a nuclear power plant. Sounds far fetched? Probably, but it is a possibility.


Self-vulnerable applications, i.e., applications that are used both as attack vector and target (such as web mail applications), make things worse. If such an application is vulnerable, the user is obviously logged in when he reads a message containing a CSRF attack, that can target the web mail application and have it perform actions such as deleting messages, sending messages appearing as sent by the user, etc.


How to Test

Black Box Testing

For a black box test the tester must know URLs in the restricted (authenticated) area. If they possess valid credentials, they can assume both roles – the attacker and the victim. In this case, testers know the URLs to be tested just by browsing around the application.


Otherwise, if testers don’t have valid credentials available, they have to organize a real attack, and so induce a legitimate, logged in user into following an appropriate link. This may involve a substantial level of social engineering.


Either way, a test case can be constructed as follows:

  • let u the URL being tested; for example, u = http://www.example.com/action
  • build an html page containing the http request referencing URL u (specifying all relevant parameters; in the case of http GET this is straightforward, while to a POST request you need to resort to some Javascript);
  • make sure that the valid user is logged on the application;
  • induce him into following the link pointing to the URL to be tested (social engineering involved if you cannot impersonate the user yourself);
  • observe the result, i.e. check if the web server executed the request.


Gray Box Testing

Audit the application to ascertain if its session management is vulnerable. If session management relies only on client side values (information available to the browser), then the application is vulnerable. "Client side values” mean cookies and HTTP authentication credentials (Basic Authentication and other forms of HTTP authentication; not form-based authentication, which is an application-level authentication). For an application to not be vulnerable, it must include session-related information in the URL, in a form of unidentifiable or unpredictable by the user ([3] uses the term secret to refer to this piece of information).


Resources accessible via HTTP GET requests are easily vulnerable, though POST requests can be automated via Javascript and are vulnerable as well; therefore, the use of POST alone is not enough to correct the occurrence of CSRF vulnerabilities.


Tools


References

Whitepapers

Remediation

The following countermeasures are divided among recommendations to users and to developers.


Users

Since CSRF vulnerabilities are reportedly widespread, it is recommended to follow best practices to mitigate risk. Some mitigating actions are:

  • Logoff immediately after using a web application
  • Do not allow the browser to save username/passwords, and do not allow sites to “remember” the log in details.
  • Do not use the same browser to access sensitive applications and to surf freely the Internet; if it is necessary to do both things at the same machine, do them with separate browsers.


Integrated HTML-enabled mail/browser, newsreader/browser environments pose additional risks since simply viewing a mail message or a news message might lead to the execution of an attack.


Developers

Add session-related information to the URL. What makes the attack possible is the fact that the session is uniquely identified by the cookie, which is automatically sent by the browser. Having other session-specific information being generated at the URL level makes it difficult to the attacker to know the structure of URLs to attack.


Other countermeasures, while they do not resolve the issue, contribute to make it harder to exploit:

  • Use POST instead of GET. While POST requests may be simulated by means of JavaScript, they make it more complex to mount an attack.
  • The same is true with intermediate confirmation pages (such as: “Are you sure you really want to do this?” type of pages). They can be bypassed by an attacker, although they will make their work a bit more complex. Therefore, do not rely solely on these measures to protect your application.
  • Automatic log out mechanisms somewhat mitigate the exposure to these vulnerabilities, though it ultimately depends on the context (a user who works all day long on a vulnerable web banking application is obviously more at risk than a user who uses the same application occasionally).

Related Security Activities

Description of CSRF Vulnerabilities

See the OWASP article on CSRF Vulnerabilities.


How to Avoid CSRF Vulnerabilities

See the OWASP Development Guide article on how to Avoid CSRF Vulnerabilities.


How to Review Code for CSRF Vulnerabilities

See the OWASP Code Review Guide article on how to Review Code for CSRF Vulnerabilities.


How to Prevent CSRF Vulnerabilites

See the OWASP CSRF Prevention Cheat Sheet for prevention measures.

Retrieved from "https://wiki.owasp.org/index.php?title=4.7.5_Tester_les_CSRF_(OTG-SESS-005)&oldid=186004"