SlideShare une entreprise Scribd logo

CSRF: El "Nuevo" Target - Juan David Castro

Télécharger en tant que PPTX, PDF
Jaime Restrepo
Jaime Restrepo

CSRF, Todo lo que debes saber sobre Cross-site request forgery o falsificación de petición en sitios cruzados (A8 en OWASP TOP 10) - DragonJAR Security Conference 2014

Technologie
1  sur  32
CSRF: Un Nuevo Target DYLAN IRZI - WEBSECURITYDEV
Quien Soy? @DYLAN_IRZI11 Security Researcher in WebApp’s, & Developer , I am young Colombian 18 years #CyberPunk, #WhiteHat. #HackingEtico, CEO de WebSecurityDev / Hall Of Fame Owncloud, Microsoft / Adobe / Twitter/ Dropbox / • Seguridad Web • Pentester • SEO (Search Engine Optimization). dylan@websecuritydev.com
Agenda.  Motivación  CSRF Que es?  Explotación y Métodos  Herramientas ( T00lz )  ( Demo ) Cross Site Request Forgery  Ataques Recientes  CSRF En Frameworks  ( Demo )Hackeando Twitter con un Click.  Bypass CSRF  Cómo aprender sobre CSRF  Mecanismos de Protección
Por Que? Cross Site Request Forgery  CSRF -> Seguridad Web  CSRF -> Inyección POST SQL – Cross Site Scripting.  CSRF -> Top 10: A8 EN OWASP Top 2013
CSRF - Cross-site request forgery.  Falsificación de Petición en Sitios Cruzados,  Cross-Site Request Forgery (CSRF) es un ataque donde la victima es engañada para cargar información desde o enviar información a la aplicación Web para la que se encuentra autenticado actualmente  Esta vulnerabilidad es conocida también por otros nombres como XSRF, enlace hostil, ataque de un click, y ataque automático.
Descripción Grafica: URL MALICIOSA Petición Enviada Respuesta del Servidor Beneficio para el Atacante.
Where the problem is?  En no Implementar mecanismos de protección, para saber si es el Usuario Validado sea quien realmente esta haciendo la petición de manera autóctona y no de manera involuntaria y arbitraria.  GET http://midominio.com/contrasena?nombre=midireccion@correo.com&contr asenya=nuevacontraseña  POST
Explotación – Métodos.  Con Un Simple Enlace, o Imagen en sitio web o email, scripts.  Ingeniería Social  Ataques combinados ( XSS + CSRF + INGENERIA SOCIAL )  El Atacante obtiene del usuario:  la falsificación de petición del usuario.  Escalacion de privilegios  Beneficio para el atacante.
Explotación- T00lz.  Herramientas. CSRF-TESTER Se ofrece a los desarrolladores la capacidad de poner a prueba su solicitudes En plataformas WebsApp para encontrar fallos CSRF. LIVE HTTP HEADER – TAMPER DATA complemento para el navegador Firefox que se utiliza para ver la información de los encabezados de sitios web.
CSRF TESTERS Tool’z
DEMO – CSRF.
Otros Ataques de CSRF – Recientes.  Syrian Electronic Army – Ataque Revista Forbes.  TP-Link TD-8840t - CSRF Vulnerability  Routers D-Link DIR-600L  D-Link DSL-2750B ADSL Router  Vulnerabilidad CSRF en Instagram  Cross-Site Request Forgery en Bugzilla
CSRF en Frameworks CSRF En Ruby on Rails CSRF En Django
CSRF En Ruby on Rails  Implementación de Código de Token , Pero Sin Comprobación de la Misma.
CSRF En Ruby on Rails – Twitter
DEMO – CSRF En Ruby On Rails
Recompensa?
Otros Sitios:  https://preyproject.com/ ( Reconocido Aplicativo antirrobo y geolocalización de dispositivos )  Dropbox.com  Readmill.com
CSRF En Django Implementación de Token ,pero comprobación por medio de cabeceras.
Demo? + Targets:
Powerby HTML5  HTML5 reúne muchos componentes, entre ellos XMLHttpRequest (XHR), Cross-origin resource sharing (CORS), WebSQL y localStorage.  “Los ataques con HTML5 son sigilosos, y en silencio”  Same-origin policy *.  Esto da campo permitiendo CSRF En (JSON) Ajax.
Hay Posibilidad! De Bypass?
CSRF Bypass!  Bypass!
Bypass CSRF. CSRF protected settings page
Bypass CSRF. DOM XSS in settings page
Bypass CSRF Reading the anti-CSRF token
Bypass! Successful Proof of Concept
Cómo aprender sobre CSRF Download Webgoat from www.OWASP.org WebGoat es una aplicación web deliberadamente insegura, mantenida por OWASP diseñado para enseñar lecciones de seguridad de aplicaciones web.
Como Protegernos Y Evitar?
Como Protegernos Y Evitar?  http://mircozeiss.com/using-csrf-with-express-and-angular/
Dudas y Pregunta?
Gracias!

Recommandé

Vulnerabilidades del Software
Vulnerabilidades del SoftwareVulnerabilidades del Software
Vulnerabilidades del Softwarelechosopowers
 
Seguridad en php
Seguridad en phpSeguridad en php
Seguridad en phpRicardo Joel Robinson Gonzalez
 
Cherry pickermalware webimprints
Cherry pickermalware webimprintsCherry pickermalware webimprints
Cherry pickermalware webimprintsDavid Thomas
 
Cross-Site Request Forgery Vulnerability: “A Sleeping Giant”
Cross-Site Request Forgery Vulnerability: “A Sleeping Giant”Cross-Site Request Forgery Vulnerability: “A Sleeping Giant”
Cross-Site Request Forgery Vulnerability: “A Sleeping Giant”Capgemini
 
Cors kung fu
Cors kung fuCors kung fu
Cors kung fuAditya Balapure
 
A Guide to Lean Coffee
A Guide to Lean CoffeeA Guide to Lean Coffee
A Guide to Lean CoffeeSteve Rogalsky
 
Índice del libro "Hacking Web Technologies"
Índice del libro "Hacking Web Technologies"Índice del libro "Hacking Web Technologies"
Índice del libro "Hacking Web Technologies"Telefónica
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 

Recommandé

Vulnerabilidades del Software
Vulnerabilidades del SoftwareVulnerabilidades del Software
Vulnerabilidades del Softwarelechosopowers
 
Seguridad en php
Seguridad en phpSeguridad en php
Seguridad en phpRicardo Joel Robinson Gonzalez
 
Cherry pickermalware webimprints
Cherry pickermalware webimprintsCherry pickermalware webimprints
Cherry pickermalware webimprintsDavid Thomas
 
Cross-Site Request Forgery Vulnerability: “A Sleeping Giant”
Cross-Site Request Forgery Vulnerability: “A Sleeping Giant”Cross-Site Request Forgery Vulnerability: “A Sleeping Giant”
Cross-Site Request Forgery Vulnerability: “A Sleeping Giant”Capgemini
 
Cors kung fu
Cors kung fuCors kung fu
Cors kung fuAditya Balapure
 
A Guide to Lean Coffee
A Guide to Lean CoffeeA Guide to Lean Coffee
A Guide to Lean CoffeeSteve Rogalsky
 
Índice del libro "Hacking Web Technologies"
Índice del libro "Hacking Web Technologies"Índice del libro "Hacking Web Technologies"
Índice del libro "Hacking Web Technologies"Telefónica
 
Seguridad en aplicaciones web
Seguridad en aplicaciones webSeguridad en aplicaciones web
Seguridad en aplicaciones webJose Mato
 
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyectoFernando Solis
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
Seguridad Web XSS y BeEF
Seguridad Web XSS y BeEFSeguridad Web XSS y BeEF
Seguridad Web XSS y BeEFJose Miguel Holguin
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting AttacksCristian Borghello
 
I Meetup OWASP - Seguridad en NodeJS
I Meetup OWASP - Seguridad en NodeJSI Meetup OWASP - Seguridad en NodeJS
I Meetup OWASP - Seguridad en NodeJSRaúl Requero García
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Web app attacks
Web app attacksWeb app attacks
Web app attacksJaime Restrepo
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]Eduardo Arriols Nuñez
 
Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012iesgrancapitan.org
 
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASPAseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASPcampus party
 
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)campus party
 
WebAttack - Presentación
WebAttack - PresentaciónWebAttack - Presentación
WebAttack - PresentaciónMarcos Miguel Garcia
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosAlonso Caballero
 
Seguridad web, ataque y defensa
Seguridad web, ataque y defensaSeguridad web, ataque y defensa
Seguridad web, ataque y defensaSantiago Bernal
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas webFacultad de Ciencias y Sistemas
 
Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios weblimahack
 
I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )Jaime Restrepo
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lostJaime Restrepo
 

Contenu connexe

Similaire à CSRF: El "Nuevo" Target - Juan David Castro

Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Alonso Caballero
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting AttacksCristian Borghello
 
I Meetup OWASP - Seguridad en NodeJS
I Meetup OWASP - Seguridad en NodeJSI Meetup OWASP - Seguridad en NodeJS
I Meetup OWASP - Seguridad en NodeJSRaúl Requero García
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebAlonso Caballero
 
Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012iesgrancapitan.org
 
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASPAseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASPcampus party
 
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)campus party
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosAlonso Caballero
 
Seguridad web, ataque y defensa
Seguridad web, ataque y defensaSeguridad web, ataque y defensa
Seguridad web, ataque y defensaSantiago Bernal
 
Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios weblimahack
 

Similaire à CSRF: El "Nuevo" Target - Juan David Castro (20)

Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
Webinar Gratuito "Vulnerabilidades en Aplicaciones Web"
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
Seguridad Web XSS y BeEF
Seguridad Web XSS y BeEFSeguridad Web XSS y BeEF
Seguridad Web XSS y BeEF
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting Attacks
 
I Meetup OWASP - Seguridad en NodeJS
I Meetup OWASP - Seguridad en NodeJSI Meetup OWASP - Seguridad en NodeJS
I Meetup OWASP - Seguridad en NodeJS
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Web app attacks
Web app attacksWeb app attacks
Web app attacks
 
Vulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones WebVulnerabilidades en Aplicaciones Web
Vulnerabilidades en Aplicaciones Web
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
 
Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012
 
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASPAseguramiento de Vulnerabilidades Web con tecnologías OWASP
Aseguramiento de Vulnerabilidades Web con tecnologías OWASP
 
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
Owasp lnhg-2011-06-1 juan david parra (seg. y redes)
 
WebAttack - Presentación
WebAttack - PresentaciónWebAttack - Presentación
WebAttack - Presentación
 
Webinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de ComandosWebinar Gratuito: Inyección de Comandos
Webinar Gratuito: Inyección de Comandos
 
Seguridad web, ataque y defensa
Seguridad web, ataque y defensaSeguridad web, ataque y defensa
Seguridad web, ataque y defensa
 
Seguridad en los sistemas web
Seguridad en los sistemas webSeguridad en los sistemas web
Seguridad en los sistemas web
 
Atacando servicios web
Atacando servicios webAtacando servicios web
Atacando servicios web
 

Plus de Jaime Restrepo

I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )Jaime Restrepo
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lostJaime Restrepo
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4Jaime Restrepo
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarJaime Restrepo
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticosJaime Restrepo
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Jaime Restrepo
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...Jaime Restrepo
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)Jaime Restrepo
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxJaime Restrepo
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyJaime Restrepo
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conJaime Restrepo
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarJaime Restrepo
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursJaime Restrepo
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Jaime Restrepo
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysisJaime Restrepo
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoJaime Restrepo
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoJaime Restrepo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Jaime Restrepo
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Jaime Restrepo
 
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014Jaime Restrepo
 

Plus de Jaime Restrepo (20)

I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lost
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jar
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticos
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-Energy
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_con
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jar
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behaviours
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysis
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dicho
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
 
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
 

Dernier

Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 

Dernier (16)

Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 

CSRF: El "Nuevo" Target - Juan David Castro

  • 1. CSRF: Un Nuevo Target DYLAN IRZI - WEBSECURITYDEV
  • 2. Quien Soy? @DYLAN_IRZI11 Security Researcher in WebApp’s, & Developer , I am young Colombian 18 years #CyberPunk, #WhiteHat. #HackingEtico, CEO de WebSecurityDev / Hall Of Fame Owncloud, Microsoft / Adobe / Twitter/ Dropbox / • Seguridad Web • Pentester • SEO (Search Engine Optimization). dylan@websecuritydev.com
  • 3. Agenda.  Motivación  CSRF Que es?  Explotación y Métodos  Herramientas ( T00lz )  ( Demo ) Cross Site Request Forgery  Ataques Recientes  CSRF En Frameworks  ( Demo )Hackeando Twitter con un Click.  Bypass CSRF  Cómo aprender sobre CSRF  Mecanismos de Protección
  • 4. Por Que? Cross Site Request Forgery  CSRF -> Seguridad Web  CSRF -> Inyección POST SQL – Cross Site Scripting.  CSRF -> Top 10: A8 EN OWASP Top 2013
  • 5. CSRF - Cross-site request forgery.  Falsificación de Petición en Sitios Cruzados,  Cross-Site Request Forgery (CSRF) es un ataque donde la victima es engañada para cargar información desde o enviar información a la aplicación Web para la que se encuentra autenticado actualmente  Esta vulnerabilidad es conocida también por otros nombres como XSRF, enlace hostil, ataque de un click, y ataque automático.
  • 6. Descripción Grafica: URL MALICIOSA Petición Enviada Respuesta del Servidor Beneficio para el Atacante.
  • 7. Where the problem is?  En no Implementar mecanismos de protección, para saber si es el Usuario Validado sea quien realmente esta haciendo la petición de manera autóctona y no de manera involuntaria y arbitraria.  GET http://midominio.com/contrasena?nombre=midireccion@correo.com&contr asenya=nuevacontraseña  POST
  • 8. Explotación – Métodos.  Con Un Simple Enlace, o Imagen en sitio web o email, scripts.  Ingeniería Social  Ataques combinados ( XSS + CSRF + INGENERIA SOCIAL )  El Atacante obtiene del usuario:  la falsificación de petición del usuario.  Escalacion de privilegios  Beneficio para el atacante.
  • 9. Explotación- T00lz.  Herramientas. CSRF-TESTER Se ofrece a los desarrolladores la capacidad de poner a prueba su solicitudes En plataformas WebsApp para encontrar fallos CSRF. LIVE HTTP HEADER – TAMPER DATA complemento para el navegador Firefox que se utiliza para ver la información de los encabezados de sitios web.
  • 12. Otros Ataques de CSRF – Recientes.  Syrian Electronic Army – Ataque Revista Forbes.  TP-Link TD-8840t - CSRF Vulnerability  Routers D-Link DIR-600L  D-Link DSL-2750B ADSL Router  Vulnerabilidad CSRF en Instagram  Cross-Site Request Forgery en Bugzilla
  • 13. CSRF en Frameworks CSRF En Ruby on Rails CSRF En Django
  • 14. CSRF En Ruby on Rails  Implementación de Código de Token , Pero Sin Comprobación de la Misma.
  • 15. CSRF En Ruby on Rails – Twitter
  • 16. DEMO – CSRF En Ruby On Rails
  • 18. Otros Sitios:  https://preyproject.com/ ( Reconocido Aplicativo antirrobo y geolocalización de dispositivos )  Dropbox.com  Readmill.com
  • 19. CSRF En Django Implementación de Token ,pero comprobación por medio de cabeceras.
  • 21. Powerby HTML5  HTML5 reúne muchos componentes, entre ellos XMLHttpRequest (XHR), Cross-origin resource sharing (CORS), WebSQL y localStorage.  “Los ataques con HTML5 son sigilosos, y en silencio”  Same-origin policy *.  Esto da campo permitiendo CSRF En (JSON) Ajax.
  • 23. CSRF Bypass!  Bypass!
  • 24. Bypass CSRF. CSRF protected settings page
  • 25. Bypass CSRF. DOM XSS in settings page
  • 26. Bypass CSRF Reading the anti-CSRF token
  • 28. Cómo aprender sobre CSRF Download Webgoat from www.OWASP.org WebGoat es una aplicación web deliberadamente insegura, mantenida por OWASP diseñado para enseñar lecciones de seguridad de aplicaciones web.
  • 30. Como Protegernos Y Evitar?  http://mircozeiss.com/using-csrf-with-express-and-angular/