A5.

Falsificacin de Peticiones en Sitios Cruzados (CSRF)

OSWASP Top 10 - 2010 Los 10 riesgos mas importantes en Aplicaciones Web
Curso: Profesora: Alumno: Auditoria de Sistemas Ing. Nelly Huracalla Escalante Candia, David

Qu es una falsificacin de peticin?

Es hacer que el cliente ejecute peticiones que fueron agregadas por el atacante, en las funcionalidades que un usuario (victima) esta autorizado a utilizar. Estas peticiones agregadas son direccionadas y ejecutadas por el servidor del atacante

Mi aplicacin es vulnerable a CSRF?

La forma ms sencilla de revisar la vulnerabilidad en una aplicacin, es verificando si cada enlace, y formulario, contiene un testigo (token) no predecible para cada usuario. Si no se tiene dicho testigo, los atacantes pueden falsificar peticiones.

Se debe concentrar el anlisis en enlaces y formularios que invoquen funciones que permitan cambiar estados. Tales funciones son los objetivos ms importantes que persiguen los ataques CSRF.
Descartar como proteccin las cookies de sesin, las direcciones IP de la fuente y otro tipo de informacin, ya que est se encuentra incluida en las

Como puedo evitar esto?

Para prevenir la CSFR se necesita incluir un testigo no predecible en el cuerpo, o URL, de cada peticin HTTP. Dicho testigo debe ser, como mnimo, nico por cada sesin de usuario.
1.

La opcin preferida es incluir el testigo en un campo oculto. Esto genera que el valor sea enviado en el cuerpo de la peticin HTTP evitando su inclusin en la URL, lo cual est sujeto a una mayor exposicin. El testigo nico tambin puede ser incluido en la URL misma, o en un parmetro de la URL. Sin embargo, este enfoque presenta el riesgo que la URL sea expuesta a un atacante, y por lo tanto exponiendo al testigo. El Guardin CSRF de la OWASP, puede ser utilizado para incluir automticamente los testigos en aplicaciones Java EE, .NET o PHP. La API ES de la OWASP, incluye generadores y validadores de testigos que los realizadores de software pueden usar para proteger sus transacciones.

2.

Realizando un ataque CSRF

La tcnica usa la confianza que

tiene el servidor en el usuario, tras lo cual el interesado en atacar debe poseer una cuenta en el sitio u aplicacin al cual ataque.
En la mayora de sitios se solicita

ser usuario registrado para realizar acciones (publicar imgenes, videos, hacer comentarios , etc.)

Realizando un ataque CSRF

Por ejemplo el ataque se puede realizar cargando una imagen en la cual se ocultara una direccin URL o link. Este link podr contener acciones que sern enviadas a travs del URL. Estas acciones pueden ser cambio de contrasea, envi de informacin del usuario u otra accin. De esta forma cuando la victima seale con el puntero la imagen publicada, el atacante podr obtener informacin tales como usuario y contrasea al sitio web.

GRACIAS