Hello les tokens anti-csrf sont justement là pour que tu ne puisses pas réaliser une attaque de type csrf. Ils ne vont être valide qu'une seule fois pour valider la requête de l'utilisateur en plus du cookie qui l'identifie. C'est donc possible de faire quelque chose, mais il faut se mettre en coupure et passer le token anti-csrf avant que l'utilisateur légitime ne l'utilise. Ce n'est pas trivial à mettre en place. Mais si c'était le cas, ça ne serait pas marrant. 😄
Il manque quelque chose dans ta vidéo, en quoi le csrf dans les formulaires nous protège de cette situation ? J'ai vue qu'il était gardé pendant toute la session utilisateur, donc la requête malicieuse va passer dans ton exemple. Normalement il faudrait un token par pages et qu'il soit régénéré à chaque fois + liaison avec le cookie pour que ça soit vraiment sécurisé. Et encore, si tu trouves sur la page où tu as le bouton "erase database" quand tu cliques dans ton email, bah ça passe quand même. J'essaye de comprendre
Hello merci pour ta question. Tu as tout compris. Effectivement pour avoir une réelle utilité, il est important que le token anti-csrf soit changé à chaque requête. Et c'est effectivement le cas.
contre ca lorsque vous vous connectez on vous donne un numero de code basé sur le temps. 5676549851232786514657 vous le stockez.... si le pirate envoie une commande sans le code ou un code erronné ca fait une alarme + bien sur refus de charger la page.
Merci à vous votre vidéo vient de me sauver waouh ❤
Bonjour,
Ça me fait super plaisir de voir ton commentaire.
Je suis vraiment ravi d'avoir pu t'aider à comprendre le principe du CSRF.
Merci pour cette vulgarisation rapide ! C'était clair.
Merci
belle explication, merci :)
Merci pour le commentaire
@@remi-cybersec je vous en prie, je vous le dois
Très bien expliqué ! J'espère que tu as laissé le schéma sur la table d'enfant pour lui assurer de bonnes bases techniques.
😆 Elle a même dû le refaire et me l’expliquer.
Yooo j’ai une questions j’ai trouvé plein de ( anti-csrf token ) je peut exploiter de quel manière je n’arrive pas a comprendre comment enfaite
Hello les tokens anti-csrf sont justement là pour que tu ne puisses pas réaliser une attaque de type csrf.
Ils ne vont être valide qu'une seule fois pour valider la requête de l'utilisateur en plus du cookie qui l'identifie.
C'est donc possible de faire quelque chose, mais il faut se mettre en coupure et passer le token anti-csrf avant que l'utilisateur légitime ne l'utilise. Ce n'est pas trivial à mettre en place. Mais si c'était le cas, ça ne serait pas marrant. 😄
Il manque quelque chose dans ta vidéo, en quoi le csrf dans les formulaires nous protège de cette situation ?
J'ai vue qu'il était gardé pendant toute la session utilisateur, donc la requête malicieuse va passer dans ton exemple.
Normalement il faudrait un token par pages et qu'il soit régénéré à chaque fois + liaison avec le cookie pour que ça soit vraiment sécurisé. Et encore, si tu trouves sur la page où tu as le bouton "erase database" quand tu cliques dans ton email, bah ça passe quand même.
J'essaye de comprendre
Hello merci pour ta question.
Tu as tout compris.
Effectivement pour avoir une réelle utilité, il est important que le token anti-csrf soit changé à chaque requête.
Et c'est effectivement le cas.
Gérer ses mails avec des droits admin LUL
contre ca lorsque vous vous connectez on vous donne un numero de code basé sur le temps. 5676549851232786514657 vous le stockez.... si le pirate envoie une commande sans le code ou un code erronné ca fait une alarme + bien sur refus de charger la page.