Enviado por J3ss3SHL el Jue, 25/04/2019 - 14:45
CSRF

Hoy, el equipo de Security Hack Labs les tiene preparado este ejercicio sobre la vulnerabilidad conocida como "CSRF" (del inglés Cross-Site Request Forgery) o falsificación de petición en sitios cruzados. Es un tipo de vulnerabilidad en una aplicación que permite a un atacante enviar peticiones fraudulentas desde un sitio remoto con la finalidad de cambiar contraseñas, robar datos, entre otros.

Este tipo de ataque ocurre cuando un sitio web, correo electrónico, blog, mensaje instantáneo o programa malicioso hace que el navegador web de un usuario realice una acción no deseada en un sitio cuando el usuario está autenticado. Un ataque CSRF funciona porque las solicitudes del navegador incluyen automáticamente cualquier credencial asociada con el sitio, como la cookie de sesión del usuario, la dirección IP, etc. Por lo tanto, si el usuario se autentica en el sitio, el sitio no puede distinguir entre la solicitud falsificada o legítima enviada por la victima. Necesitaríamos un token identificador que no sea accesible para el atacante y no sería enviado (como las cookies) con solicitudes falsas que el atacante inicia.

Requerimiento:

En el siguiente vídeo encontramos un a demostración de como se realiza este tipo de ataque:

Para finalizar daremos algunas recomendaciones de como prevenir ese tipo de ataque:

  • Se recomienda la prevención basada en token como defensa principal para mitigar CSRF en sus aplicaciones. Solo para operaciones altamente confidenciales, también recomendamos una protección basada en la interacción del usuario (ya sea autenticación, token de una sola vez), pueden leer mas en este documento:

https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Cross…

  • No abrir enlaces de sitios desconocidos y dudosos.
  • Si usted es quien programa la aplicación, usar métodos fiables de comprobación de usuario al momento de realizar tareas como cambio de contraseñas.
     

Con esto finalizamos este artículo, cualquier duda o inquietud dejarla en los comentarios. Registrate en el foro, síguenos en FacebookTwitterunete a nuestro chat en Discord y no olvides compartirnos en las redes sociales.

Acerca del autor

Pentester. Estudiante de ingeniería informática, Twitter @j3ss3SHL