CSRF: El "Nuevo" Target - Juan David Castro
-
Upload
jaime-restrepo -
Category
Technology
-
view
1.653 -
download
1
description
Transcript of CSRF: El "Nuevo" Target - Juan David Castro
CSRF: Un Nuevo TargetDYLAN IRZI - WEBSECURITYDEV
Quien Soy?
@DYLAN_IRZI11
Security Researcher in WebApp’s, & Developer , I am young Colombian 18 years#CyberPunk, #WhiteHat. #HackingEtico, CEO de WebSecurityDev / Hall Of Fame Owncloud, Microsoft / Adobe / Twitter/ Dropbox /
• Seguridad Web• Pentester• SEO (Search Engine
Optimization).
Juan David Castro
Agenda.
Motivación
CSRF Que es?
Explotación y Métodos
Herramientas ( T00lz )
( Demo ) Cross Site Request Forgery
Ataques Recientes
CSRF En Frameworks
( Demo )Hackeando Twitter con un Click.
Bypass CSRF
Cómo aprender sobre CSRF
Mecanismos de Protección
Por Que? Cross Site Request Forgery
CSRF -> Seguridad Web CSRF -> Inyección POST SQL – Cross Site
Scripting. CSRF -> Top 10: A8 EN OWASP Top 2013
CSRF - Cross-site request forgery.
Falsificación de Petición en Sitios Cruzados,
Cross-Site Request Forgery (CSRF) es un ataque donde la victima es engañada para cargar información desde o enviar información a la aplicación Web para la que se encuentra autenticado actualmente
Esta vulnerabilidad es conocida también por otros nombres como XSRF, enlace hostil, ataque de un click, y ataque automático.
Descripción Grafica:
URL MALICIOSA
Petición Enviada
Respuesta del Servidor
Beneficio para el Atacante.
Where the problem is?
En no Implementar mecanismos de protección, para saber si es el Usuario Validado sea quien realmente esta haciendo la petición de manera autóctona y no de manera involuntaria y arbitraria.
GET
http://midominio.com/[email protected]&contrasenya=nuevacontraseña
POST
Explotación – Métodos.
Con Un Simple Enlace, o Imagen en sitio web o email, scripts.
Ingeniería Social
Ataques combinados ( XSS + CSRF + INGENERIA SOCIAL )
El Atacante obtiene del usuario:
la falsificación de petición del usuario.
Escalacion de privilegios
Beneficio para el atacante.
Explotación- T00lz.
Herramientas.
CSRF-TESTER
Se ofrece a los desarrolladores la capacidad de poner a prueba su solicitudes En plataformas WebsApp para encontrar fallos CSRF.
LIVE HTTP HEADER – TAMPER DATA
complemento para el navegador Firefox que se utiliza para ver la información de los encabezados de sitios web.
CSRF TESTERS
Tool’z
DEMO – CSRF.
CSRF
Otros Ataques de CSRF – Recientes.
Syrian Electronic Army – Ataque Revista Forbes.
TP-Link TD-8840t - CSRF Vulnerability
Routers D-Link DIR-600L
D-Link DSL-2750B ADSL Router
Vulnerabilidad CSRF en Instagram
Cross-Site Request Forgery en Bugzilla
CSRF en Frameworks
CSRF En Ruby on Rails CSRF En Django
CSRF En Ruby on Rails
Implementación de Código de Token , Pero Sin Comprobación de la Misma.
CSRF En Ruby on Rails – Twitter
DEMO – CSRF En Ruby On Rails
Recompensa?
Otros Sitios:
https://preyproject.com/ ( Reconocido Aplicativo antirrobo y geolocalización de dispositivos )
Dropbox.com
Readmill.com
CSRF En Django
Implementación de Token ,pero comprobación por medio de cabeceras.
Demo?
+
Targets:
Powerby HTML5
HTML5 reúne muchos componentes, entre ellos XMLHttpRequest (XHR), Cross-origin resource sharing (CORS), WebSQL y localStorage.
“Los ataques con HTML5 son sigilosos, y en silencio” Same-origin policy *. Esto da campo permitiendo CSRF En (JSON)
Ajax.
Hay Posibilidad! De Bypass?
CSRF Bypass!
Bypass!
Bypass CSRF.
CSRF protected settings page
Bypass CSRF.
DOM XSS in settings page
Bypass CSRF
Reading the anti-CSRF token
Bypass! Successful
Proof of Concept
Cómo aprender sobre CSRF
Download Webgoat from www.OWASP.org
WebGoat es una aplicación web deliberadamente insegura, mantenida por OWASP diseñado para enseñar lecciones de seguridad de aplicaciones web.
Como Protegernos Y Evitar?
Como Protegernos Y Evitar?
http://mircozeiss.com/using-csrf-with-express-and-angular/
Dudas y Pregunta?
Gracias!