Cross-Site Request

Forgery (CSRF)

Integrantes: Juan Jose Paz Chalco

Carlos Sanchez Aquino
 Concepto

falsificacin de peticin en sitios cruzados o tambin es conocida como

Session Riding
es un tipo de exploit malicioso de un sitio web en el que comandos no
autorizados son transmitidos por un usuario en el cual el sitio web confa.
 Explicacin
Este ataque fuerza al navegador web de su vctima, validado en algn servicio
(como por ejemplo correo ) a enviar una peticin a una aplicacin web
vulnerable.
 Como se realiza el ataque

El atacante debe conseguir vulnerar e ingresar cdigo HTML en un

determinado servidor que podemos llamar A
Por otro lado, la vctima establece una conexin legtima con una aplicacin
web en otro servidor, que llamaremos B
La vctima accede a la aplicacin web donde se encuentra el cdigo
introducido por el atacante
El navegador de la vctima realiza una peticin contra la aplicacin del
servidor web B sin que el usuario se entere
Como se realiza el ataque
 Como nos protegemos

Algunas buenas prcticas son:

Configurar el navegador para que no recuerde usuarios y contraseas.
El modo incgnito
Recordar cerrar la sesin.
Utilizar diferentes navegadores, uno para informacin sensible y otro para navegacin en
general.
Utilizar complementos que bloqueen la ejecucin de scripts. As los formularios que se
enven por el mtodo POST, no podrn ser enviados automticamente sin el consentimiento
del usuario
 Ejemplos

La URL de exploit puede ser disfrazada como un enlace normal, alentando a la vctima a hacer clic en ella:
<a href="http://bank.com/transfer.do?acct=MARIO&amount=100000"> Ver mis fotos! </a>

O como una imagen falsa 0x0: <img src = "http://bank.com/transfer.do?acct=MARIO&amount=100000" width = "0" height = "0" border = "0">