pip3 install xsrfprobe
xsrfprobe -u http://server/endpoint
Vulnérabilité CSRF
un fichier sur un serveur tiers, lorsque visité par une victime, permet l’exécution de code sur le serveur vulnérable (avec les droits de la victime)
URL d’un image (invisible pour la victime) qui exécute du code sur un serveur vulnérable. La victime n’a fait qu’ouvrir le lien envoyé par l’attaquant (par courriel ou autre)
<img src="https://vulnerable-website.com/email/change?email=attacker@searchevolution.com">
