CSRF, Todo lo que debes saber sobre Cross-site request forgery o falsificación de petición en sitios cruzados (A8 en OWASP TOP 10) - DragonJAR Security Conference 2014
2. Quien Soy?
@DYLAN_IRZI11
Security Researcher in WebApp’s, &
Developer , I am young Colombian 18 years
#CyberPunk, #WhiteHat. #HackingEtico,
CEO de WebSecurityDev / Hall Of Fame
Owncloud, Microsoft / Adobe / Twitter/
Dropbox /
• Seguridad Web
• Pentester
• SEO (Search Engine Optimization).
dylan@websecuritydev.com
3. Agenda.
Motivación
CSRF Que es?
Explotación y Métodos
Herramientas ( T00lz )
( Demo ) Cross Site Request Forgery
Ataques Recientes
CSRF En Frameworks
( Demo )Hackeando Twitter con un Click.
Bypass CSRF
Cómo aprender sobre CSRF
Mecanismos de Protección
4. Por Que? Cross Site Request Forgery
CSRF -> Seguridad Web
CSRF -> Inyección POST SQL – Cross Site
Scripting.
CSRF -> Top 10: A8 EN OWASP Top 2013
5. CSRF - Cross-site request forgery.
Falsificación de Petición en Sitios Cruzados,
Cross-Site Request Forgery (CSRF) es un ataque donde la victima es
engañada para cargar información desde o enviar información a la
aplicación Web para la que se encuentra autenticado actualmente
Esta vulnerabilidad es conocida también por otros nombres como XSRF,
enlace hostil, ataque de un click, y ataque automático.
6. Descripción Grafica:
URL
MALICIOSA
Petición
Enviada
Respuesta
del Servidor
Beneficio para el
Atacante.
7. Where the problem is?
En no Implementar mecanismos de protección, para saber si es el Usuario
Validado sea quien realmente esta haciendo la petición de manera
autóctona y no de manera involuntaria y arbitraria.
GET
http://midominio.com/contrasena?nombre=midireccion@correo.com&contr
asenya=nuevacontraseña
POST
8. Explotación – Métodos.
Con Un Simple Enlace, o Imagen en sitio web o email, scripts.
Ingeniería Social
Ataques combinados ( XSS + CSRF + INGENERIA SOCIAL )
El Atacante obtiene del usuario:
la falsificación de petición del usuario.
Escalacion de privilegios
Beneficio para el atacante.
9. Explotación- T00lz.
Herramientas.
CSRF-TESTER
Se ofrece a los desarrolladores la capacidad de poner a prueba su
solicitudes En plataformas WebsApp para encontrar fallos CSRF.
LIVE HTTP HEADER – TAMPER DATA
complemento para el navegador Firefox que se utiliza para ver la
información de los encabezados de sitios web.
21. Powerby HTML5
HTML5 reúne muchos componentes, entre ellos
XMLHttpRequest (XHR), Cross-origin resource sharing
(CORS), WebSQL y localStorage.
“Los ataques con HTML5 son sigilosos, y en silencio”
Same-origin policy *.
Esto da campo permitiendo CSRF En (JSON) Ajax.
28. Cómo aprender sobre CSRF
Download Webgoat from
www.OWASP.org
WebGoat es una aplicación web
deliberadamente insegura, mantenida
por OWASP diseñado para enseñar
lecciones de seguridad de aplicaciones
web.