Académique Documents
Professionnel Documents
Culture Documents
Se debe concentrar el anlisis en enlaces y formularios que invoquen funciones que permitan cambiar estados. Tales funciones son los objetivos ms importantes que persiguen los ataques CSRF.
Descartar como proteccin las cookies de sesin, las direcciones IP de la fuente y otro tipo de informacin, ya que est se encuentra incluida en las
La opcin preferida es incluir el testigo en un campo oculto. Esto genera que el valor sea enviado en el cuerpo de la peticin HTTP evitando su inclusin en la URL, lo cual est sujeto a una mayor exposicin. El testigo nico tambin puede ser incluido en la URL misma, o en un parmetro de la URL. Sin embargo, este enfoque presenta el riesgo que la URL sea expuesta a un atacante, y por lo tanto exponiendo al testigo. El Guardin CSRF de la OWASP, puede ser utilizado para incluir automticamente los testigos en aplicaciones Java EE, .NET o PHP. La API ES de la OWASP, incluye generadores y validadores de testigos que los realizadores de software pueden usar para proteger sus transacciones.
2.
tiene el servidor en el usuario, tras lo cual el interesado en atacar debe poseer una cuenta en el sitio u aplicacin al cual ataque.
En la mayora de sitios se solicita
ser usuario registrado para realizar acciones (publicar imgenes, videos, hacer comentarios , etc.)
GRACIAS