cross site y gardening
Páginas: 2 (314 palabras)
Publicado: 9 de julio de 2013
Universidad Tecnológica de Santa Catarina
Nombre:
Luis Fernando Velázquez Díaz
Carrera:
Tecnologías de la información y comunicación
Materia:
Auditoria de sistemas
Matricula:
6697Grupo:
ITI09C
Actividad:
-Cross Site Request Forgery
Santa Catarina. NL 28/06/2013
Cross Site Request Forgery
CSRF es unavulnerabilidad web, quizás no tan conocida como las inyecciones SQL Injection o XSS, pero igualmente importante, que permite que un atacante realice peticiones en nombre de otro (víctima), gracias a quela aplicación web desconoce si la petición es realizada voluntariamente por el usuario o por un ataque CSRF.
Un blog en el que se encuentra un usuario autenticado. Para salir del blog utiliza unbotón de desconexión que internamente llama a una función de logout como la siguiente:
http://www.miweb.com/logout.php
Si un usuario malicioso llegase a engañar al usuario victima para que ejecute ellink camuflado con un phising en una imagen cualquiera por ejemplo o mediante ingeniería social, lograría que el usuario desconectase su sesión:
Acabamos de ver es inofensivo, pero dependiendo delcódigo introducido podremos ejecutar ordenes más jugosas en nombre de otro. Si unimos además esta vulnerabilidad a otras como los XSS las posibilidades se incrementan.
Para prevenirnos de losataques CSRF deberíamos seguir las siguientes recomendaciones:
Filtrados iguales a los de las vulnerabilidades de tipo Cross-Site Scripting (XSS)
Uso de tokens aleatorios únicos en cada sesión (muyimportante).
Se trata de una técnica prácticamente desconocida pero extremadamente peligrosa que permite aprovechar que tenemos abierta una sesión en el navegador con un sitiofiable (un banco, gmail, ...) para que desde el código HTML de una página que estemos visitando se cree una petición que podría tener la consecuencia de enviar una petición (legítima en apariencia...
Nombre:
Luis Fernando Velázquez Díaz
Carrera:
Tecnologías de la información y comunicación
Materia:
Auditoria de sistemas
Matricula:
6697Grupo:
ITI09C
Actividad:
-Cross Site Request Forgery
Santa Catarina. NL 28/06/2013
Cross Site Request Forgery
CSRF es unavulnerabilidad web, quizás no tan conocida como las inyecciones SQL Injection o XSS, pero igualmente importante, que permite que un atacante realice peticiones en nombre de otro (víctima), gracias a quela aplicación web desconoce si la petición es realizada voluntariamente por el usuario o por un ataque CSRF.
Un blog en el que se encuentra un usuario autenticado. Para salir del blog utiliza unbotón de desconexión que internamente llama a una función de logout como la siguiente:
http://www.miweb.com/logout.php
Si un usuario malicioso llegase a engañar al usuario victima para que ejecute ellink camuflado con un phising en una imagen cualquiera por ejemplo o mediante ingeniería social, lograría que el usuario desconectase su sesión:
Acabamos de ver es inofensivo, pero dependiendo delcódigo introducido podremos ejecutar ordenes más jugosas en nombre de otro. Si unimos además esta vulnerabilidad a otras como los XSS las posibilidades se incrementan.
Para prevenirnos de losataques CSRF deberíamos seguir las siguientes recomendaciones:
Filtrados iguales a los de las vulnerabilidades de tipo Cross-Site Scripting (XSS)
Uso de tokens aleatorios únicos en cada sesión (muyimportante).
Se trata de una técnica prácticamente desconocida pero extremadamente peligrosa que permite aprovechar que tenemos abierta una sesión en el navegador con un sitiofiable (un banco, gmail, ...) para que desde el código HTML de una página que estemos visitando se cree una petición que podría tener la consecuencia de enviar una petición (legítima en apariencia...
Leer documento completo
Regístrate para leer el documento completo.