informatica:seguridad:cursos:hacking_etico_descubriendo_vulnerabilidades_en_aplicaciones_web:csrf
¡Esta es una revisión vieja del documento!
Tabla de Contenidos
Cross-Site Request Forgery (CSRF)
Notas del curso Hacking ético: descubriendo vulnerabilidades en aplicaciones web
La vulnerabilidad de CSRF, conocida como falsificación de petición en sitios cruzados, consiste en engañar a un usuario legítimo (que esté identificado en la aplicación) para que ejecute peticiones/acciones sin su consentimiento (no sabe que esas peticiones se están realizando desde su usuario).
Impacto
- Acciones fraudulentas.
- Acciones involuntarias de usuarios.
Formas de explotación
- Ingeniería social
- Phishing
Explotación
- Detectar tokenAnti-CSRF
- Realizar prueba de concepto sobre funcionalidad susceptible
- BurpProfessional: GenerateCSRF PoC
- Escáneres automáticos
Buenas prácticas
- Implementación de tokensanti-CSRF
- Cookies de sesión: SameSite
- Protecciones ante XSS
- No usar peticiones GET para el envío de información a la aplicación
- Revisar cabeceras: OriginHeadery RefererHeader
informatica/seguridad/cursos/hacking_etico_descubriendo_vulnerabilidades_en_aplicaciones_web/csrf.1711370388.txt.gz · Última modificación: por tempwin