OWASP WebGoat:Cross Site Request Forgery
Jump to navigation
Jump to search
Cross Site Request Forgery
Cet exercice a pour objectif de vous présenter une variante de Cross Site Scripting (XSS) : il s'agit du Cross Site Request Forgeries (CSRF ou XSRF).
Le principe est généralement le suivant : un attaquant envoie un mail qui contient une image passant inaperçue (taille de 1x1px). La source de cette image correspond à un lien vers un script distant.
Dans notre exemple, il suffit d'ajouter à un texte une image qui prend sa source vers l'adresse de l'exercice. Dans cet appel, nous ajoutons un paramètre transferFund afin de simuler une action néfaste.