A5.

Falsificación de Peticiones en Sitios Cruzados (CSRF)
OSWASP Top 10 - 2010 Los 10 riesgos mas importantes en Aplicaciones Web
Curso: Profesora: Alumno: Auditoria de Sistemas Ing. Nelly Huracalla Escalante Candia, David

en las funcionalidades que un usuario (victima) esta autorizado a utilizar.¿Qué es una falsificación de petición? Es hacer que el cliente ejecute peticiones que fueron agregadas por el atacante. Estas peticiones agregadas son direccionadas y ejecutadas por el servidor del atacante .

Tales funciones son los objetivos más importantes que persiguen los ataques CSRF. Descartar como protección las cookies de sesión. los atacantes pueden falsificar peticiones. contiene un testigo (token) no predecible para cada usuario. las direcciones IP de la fuente y otro tipo de información.¿Mi aplicación es vulnerable a CSRF? La forma más sencilla de revisar la vulnerabilidad en una aplicación. es verificando si cada enlace. Se debe concentrar el análisis en enlaces y formularios que invoquen funciones que permitan cambiar estados. y formulario. ya que está se encuentra incluida en las . Si no se tiene dicho testigo.

La API ES de la OWASP. puede ser utilizado para incluir automáticamente los testigos en aplicaciones Java EE. incluye generadores y validadores de testigos que los realizadores de software pueden usar para proteger sus transacciones. La opción preferida es incluir el testigo en un campo oculto. Sin embargo. y por lo tanto exponiendo al testigo. 2. este enfoque presenta el riesgo que la URL sea expuesta a un atacante. o URL.¿Como puedo evitar esto? Para prevenir la CSFR se necesita incluir un testigo no predecible en el cuerpo. . El testigo único también puede ser incluido en la URL misma. de cada petición HTTP. Esto genera que el valor sea enviado en el cuerpo de la petición HTTP evitando su inclusión en la URL. o en un parámetro de la URL.NET o PHP. único por cada sesión de usuario. Dicho testigo debe ser. 1. lo cual está sujeto a una mayor exposición. . como mínimo. El Guardián CSRF de la OWASP.

tras lo cual el interesado en atacar debe poseer una cuenta en el sitio u aplicación al cual ataque.Realizando un ataque CSRF  La técnica usa la confianza que tiene el servidor en el usuario.) . hacer comentarios .  En la mayoría de sitios se solicita ser usuario registrado para realizar acciones (publicar imágenes. etc. videos.

envió de información del usuario u otra acción. Estas acciones pueden ser cambio de contraseña. el atacante podrá obtener información tales como usuario y contraseña al sitio web. De esta forma cuando la victima señale con el puntero la imagen publicada. .Realizando un ataque CSRF Por ejemplo el ataque se puede realizar cargando una imagen en la cual se ocultara una dirección URL o link. Este link podrá contener acciones que serán enviadas a través del URL.

.

GRACIAS .