La faiblesse identifiée sous la référence http:::*:csrf:* correspond à un risque potentiel de type Cross-Site Request Forgery (CSRF) sur le service web exposé en HTTPS (port 443). Une attaque CSRF vise à forcer un utilisateur authentifié à exécuter une action non souhaitée sur une application web, via une requête déclenchée depuis un site tiers malveillant.
Le niveau de risque réel est faible à modéré, car l’exploitation de cette faiblesse nécessite que l’utilisateur soit authentifié sur l’application cible et qu’il interagisse simultanément avec un contenu malveillant. Cette vulnérabilité n’entraîne pas une compromission directe du serveur, mais peut permettre des actions non intentionnelles (modification de paramètres, déclenchement d’opérations applicatives) si aucune protection n’est en place.
Cette alerte est généralement remontée lorsque l’application ne met pas explicitement en œuvre de mécanismes de protection CSRF détectables, ou lorsque certains endpoints acceptent des requêtes sensibles sans jeton de validation. Il s’agit d’une détection générique, fréquente dans les scans automatisés, qui indique une configuration ou un contrôle applicatif perfectible, sans confirmer une exploitation effective.
Les bonnes pratiques recommandées consistent à mettre en place des protections CSRF systématiques, telles que l’utilisation de jetons CSRF uniques et imprévisibles, la validation stricte des méthodes HTTP (GET / POST / PUT / DELETE), et la vérification des en-têtes Origin et Referer lorsque cela est pertinent. Il est également recommandé de marquer les cookies sensibles avec les attributs SameSite, Secure et HttpOnly, et de limiter les actions sensibles aux requêtes POST.
La mise en œuvre de ces bonnes pratiques permet de supprimer cette alerte, de renforcer la sécurité applicative, et d’améliorer la protection des utilisateurs, sans impact fonctionnel pour l’application.