Icône du lab

CSRF Bank Transfer

🏦 Pouvez-vous voler de l'argent sans toucher le clavier ?

Défi Mis à jour le 21 juin 2026 Solution (Pro)
CSRF Cross-Site Request Forgery Session Security Web Security Social Engineering Form Security HTTP Security State Management

🎯 Maîtrisez les attaques Cross-Site Request Forgery (CSRF) et comprenez les vulnérabilités basées sur les sessions
🛠️ Apprenez à créer des formulaires HTML malveillants et à exploiter les opérations de changement d'état des applications web
📊 Les vulnérabilités CSRF affectent 73% des applications financières selon les évaluations de sécurité récentes
🚀 Améliorez vos compétences en tests d'intrusion avec des scénarios réalistes de sécurité d'applications bancaires

1
Flags
50
XP
48%
Taux de Réussite

Le Cross-Site Request Forgery (CSRF) est une vulnérabilité de sécurité web qui trompe les utilisateurs authentifiés pour qu'ils effectuent des actions non intentionnelles sur une application web. Un tutoriel CSRF démontre comment les attaquants créent des pages web malveillantes qui soumettent des requêtes à des sites vulnérables en utilisant la session existante de la victime. Cette attaque est particulièrement dangereuse dans les applications financières où des transferts non autorisés, des changements de mot de passe ou des modifications de compte peuvent se produire à l'insu de l'utilisateur.

Comment fonctionnent les attaques CSRF

Le CSRF exploite la confiance qu'une application web accorde au navigateur de l'utilisateur. Lorsqu'un utilisateur est connecté à un site bancaire, son navigateur inclut automatiquement les cookies de session avec chaque requête vers ce site. Un attaquant peut créer une page web malveillante contenant un formulaire caché qui soumet une demande de transfert au site bancaire. Si la victime visite cette page malveillante tout en étant connectée à sa banque, le navigateur envoie la requête forgée avec des cookies de session valides, et la banque la traite comme une transaction légitime.

Vecteurs d'attaque CSRF

Les attaquants livrent des charges utiles CSRF par diverses méthodes. Les formulaires HTML cachés avec soumission automatique en JavaScript sont la technique la plus courante pour les attaques basées sur POST. Les balises image et autres éléments qui déclenchent des requêtes GET peuvent exploiter les applications qui effectuent des changements d'état via GET. Des attaques plus sophistiquées utilisent des appels XMLHttpRequest ou fetch API, bien que les restrictions de la politique de même origine limitent certaines de ces approches. L'ingénierie sociale joue un rôle clé - l'attaquant doit convaincre la victime de visiter la page malveillante tout en étant authentifiée sur l'application cible.

Défenses contre le CSRF

La défense CSRF la plus efficace est le modèle de jeton synchroniseur, où le serveur génère un jeton unique et imprévisible pour chaque session ou requête et exige qu'il soit inclus dans toutes les requêtes de changement d'état. Puisque l'attaquant ne peut pas lire le jeton depuis le site cible (bloqué par la politique de même origine), il ne peut pas l'inclure dans sa requête forgée. Des défenses supplémentaires incluent les attributs de cookie SameSite, la vérification des en-têtes Origin et Referer, et l'exigence de ré-authentification pour les opérations sensibles comme les transferts financiers.

Ce que vous apprendrez

  • Comment les attaques Cross-Site Request Forgery exploitent la confiance du navigateur
  • Création de charges utiles CSRF utilisant des formulaires cachés et la soumission automatique
  • Pourquoi les cookies de session seuls sont insuffisants pour la validation des requêtes
  • Mécanismes de défense CSRF incluant les jetons et les cookies SameSite
  • Impact réel du CSRF dans les applications financières et critiques

Prérequis

Basic HTML and forms Understanding of HTTP cookies and sessions Web browser usage

Prêt à hacker ce lab ?

Créez un compte gratuit et pratiquez la cybersécurité.

Commencer - C'est gratuit
Commencez Votre Défi
~1-2 min de configuration
Serveur dédié
Instance privée
Puissance standard
Nouveau ? Voici comment faire
1
Cliquez sur "Start Lab" ci-dessus Vous obtiendrez votre propre machine avec une adresse IP
2
Explorez la cible Ouvrez l'IP dans votre navigateur et cherchez des vulnérabilités
3
Trouvez et soumettez les flags Les flags sont des textes secrets cachés dans le système - collez-les ci-dessous pour marquer des XP

Prêt à hacker ce lab?

Créez un compte gratuit pour démarrer votre propre serveur dédié, soumettre des flags et gagner des XP au classement.

Commencer à Hacker Gratuitement

Labs similaires

Labs qui partagent des compétences similaires

Hack the Login
Hack the Login
Very Easy 50 XP 5753
Authentication Bypass Broken Authentication Client-Side Security Web Security
Secrets in Source : voir le code source pour trouver le flag
Secrets in Source : voir le code source pour trouver le flag
Very Easy 50 XP 3694
View Source Code HTML Browser DevTools Information Disclosure
Secrets in Source 2 : contourner la sécurité par l'obscurité
Secrets in Source 2 : contourner la sécurité par l'obscurité
Very Easy 50 XP 1175
Client-Side Security Security Through Obscurity Browser DevTools View Source
Hidden CMS Breach
Hidden CMS Breach
Medium 400 XP 144
Web Enumeration Web Security Authentication RCE
13 000+ Hackers 100+ Labs & Cours Gratuit
Commencer Gratuitement