Csrf
Páginas: 2 (309 palabras)
Publicado: 11 de noviembre de 2012
Cross Site Request Forgery
Falsificación de Petición en Sitios Cruzados
Ingeniería del Software para Ambientes Web
Cross Site Request Forgery
Que es? … Hablemos un poco sobre el tema!!Este tipo de vulnerabilidad se conoce desde 1990
no se puede trazar porque es abierta a cabo por el dirección IP de sitio fiable legitimo …permite aprovechar que tenemos llevadauna sesión en lanavegador con unun usuario(un banco, gmail, etc.) para que desde el código HTML de una página que estemos visitando se cree una petición que podría tener la consecuencia de enviar una petición (legítima enapariencia …se sabe que la consola de administración porque procede de un navegador en el que mantenemos una sesión válida abierta) a la de aplicación web, para que realice una operación sin que sea enningún momento evidente. IBM WebSphere Application Server es
vulnerable a ataques de Cross-Site Request Forgery (CSRF) o falsificación de petición en sitios
cruzados
Cross Site RequestForgery
Este es un ejemplo… para comprender mejor!!
Bob
Foro de chat
Fred
Cross Site Request Forgery
Estos son algunos Riesgos posibles…
Los riesgos que supone esta técnica sonenormes, tales como:
•
•
•
Se puede acusar a alguien de acceder a sitios de pornografía infantil. Se puede habilitar un filtro en el correo para que todos los mensajes se reenvíen a una terceracuenta. Se pueden robar dominios o cambiar contraseñas.
Cross Site Request Forgery
Cuales son las recomendaciones??
•
• •
Uso de un Token de sesión personal Uso de un Token de personal desesión por acción Uso de un Token encriptado de sesión personal por acción Captcha
Cross Site Request Forgery
Falsa sensacion de seguridad! …hay otras alternativas que habitualmente se aceptancomo buenas y que dan una falsa sensación de seguridad al no protegernos tanto Formularios POST Formularios Multipágina Comprobación de Referer _____________________________________ Responsabilizar al...
Falsificación de Petición en Sitios Cruzados
Ingeniería del Software para Ambientes Web
Cross Site Request Forgery
Que es? … Hablemos un poco sobre el tema!!Este tipo de vulnerabilidad se conoce desde 1990
no se puede trazar porque es abierta a cabo por el dirección IP de sitio fiable legitimo …permite aprovechar que tenemos llevadauna sesión en lanavegador con unun usuario(un banco, gmail, etc.) para que desde el código HTML de una página que estemos visitando se cree una petición que podría tener la consecuencia de enviar una petición (legítima enapariencia …se sabe que la consola de administración porque procede de un navegador en el que mantenemos una sesión válida abierta) a la de aplicación web, para que realice una operación sin que sea enningún momento evidente. IBM WebSphere Application Server es
vulnerable a ataques de Cross-Site Request Forgery (CSRF) o falsificación de petición en sitios
cruzados
Cross Site RequestForgery
Este es un ejemplo… para comprender mejor!!
Bob
Foro de chat
Fred
Cross Site Request Forgery
Estos son algunos Riesgos posibles…
Los riesgos que supone esta técnica sonenormes, tales como:
•
•
•
Se puede acusar a alguien de acceder a sitios de pornografía infantil. Se puede habilitar un filtro en el correo para que todos los mensajes se reenvíen a una terceracuenta. Se pueden robar dominios o cambiar contraseñas.
Cross Site Request Forgery
Cuales son las recomendaciones??
•
• •
Uso de un Token de sesión personal Uso de un Token de personal desesión por acción Uso de un Token encriptado de sesión personal por acción Captcha
Cross Site Request Forgery
Falsa sensacion de seguridad! …hay otras alternativas que habitualmente se aceptancomo buenas y que dan una falsa sensación de seguridad al no protegernos tanto Formularios POST Formularios Multipágina Comprobación de Referer _____________________________________ Responsabilizar al...
Leer documento completo
Regístrate para leer el documento completo.