CROSS-SITE

REQUESTS FORGEY
REALIZADO POR: ESTEBAN VÁSQUEZ MÉNDEZ
¿Qué es?

▶ El CSRF (del inglés Cross-site request forgery o falsificación de

petición en sitios cruzados) es un tipo de exploit malicioso de un sitio
web en el que comandos no autorizados son transmitidos por
un usuario en el cual el sitio web confía. Esta vulnerabilidad es
conocida también por otros nombres como XSRF, enlace hostil,
ataque de un clic, cabalgamiento de sesión, y ataque automático.
▶ El impacto que puede generar un ataque CSRF es directamente
proporcional a las posibles acciones que pueda generar una
aplicación, modificar datos personales, publicar información en
nombre de otro, comprar productos, modificar contraseñas, etc.
Detección y Prevención

▶ Sincronizador de patrón de señal

▶ Sincronizador de patrón de señal (STP) es una técnica donde un token, valor secreto y
único para cada solicitud, se incrusta por la aplicación web en todos los formularios
HTML y verificado en el lado del servidor. El token puede ser generado por cualquier
método que asegura la imprevisibilidad y la singularidad (por ejemplo, usando
una cadena de hash de semilla aleatoria). El atacante es por lo tanto incapaz de
colocar una ficha correcta en sus solicitudes para autenticar ellos.
▶ Galleta-a-cabecera simbólico
▶ Aplicaciones web que utilizan JavaScript para la mayoría de sus operaciones puede
utilizar una técnica anti-CSRF que se basa en la política de mismo origen:
▶ Al iniciar la sesión, la aplicación web establece una cookie que contiene una muestra
aleatoria que sigue siendo la misma para toda la sesión de usuario
▶ JavaScript operando en el lado cliente lee su valor y lo copia en una
costumbre cabecera HTTP enviado con cada solicitud transaccional
▶ El servidor valida la presencia y la integridad de la ficha
▶ Salvaguardias lado del cliente
▶ Las extensiones del navegador como RequestPolicy (para Mozilla Firefox) o Umatrix (tanto para
Firefox y Google Chrome / Chromium) pueden prevenir CSRF proporcionando una política de
denegación por omisión para peticiones de dominio cruzado. Sin embargo, esto puede interferir
significativamente con el funcionamiento normal de muchos sitios web. La extensión CsFire
(también para Firefox) puede mitigar el impacto de CSRF con menos impacto en la navegación
normal, mediante la eliminación de la información de autenticación de peticiones de dominio
cruzado.
▶ El NoScript extensión para Firefox mitiga las amenazas CSRF mediante la distinción de confianza
de sitios no confiables, y la eliminación de la autenticación y cargas útiles de peticiones POST
enviados por los sitios que no se confía a los de confianza. El módulo de aplicación de límites
Enforcer en NoScript también bloquea las solicitudes enviadas desde páginas de Internet a los
sitios locales (por ejemplo, localhost), la prevención de ataques CSRF sobre los servicios locales
(como uTorrent) o routers.
▶ La autodestrucción Galletas extensión para Firefox no protege directamente de CSRF, pero
puede reducir la ventana de ataque, mediante la supresión de las cookies tan pronto como ya
no están asociados con una pestaña abierta.
▶ Algunas buenas prácticas son:
▶ Configurar el navegador para que no recuerde usuarios y contraseñas. El modo incógnito es una
buena alternativa.
▶ Recordar cerrar la sesión cuando ya no se vaya a hacer uso de la aplicación y/o servicio.
▶ Se recomienda no utilizar la funcionalidad de aplicaciones web que permiten mantener la sesión
abierta o recordar sesión.
▶ Utilizar diferentes navegadores, uno para información sensible y otro para navegación en
general.
▶ Utilizar complementos que bloqueen la ejecución de scripts. Así los formularios que se envíen por
el método POST, no podrán ser enviados automáticamente sin el consentimiento del usuario.
Referencias bibliográficas.

▶ https://www.acunetix.com/websitesecurity/csrf-attacks/
▶ https://en.wikipedia.org/wiki/Cross-site_request_forgery#Prevention
▶ https://cyberseguridad.net/index.php/453-falsificacion-de-
peticiones-en-sitios-cruzados-cross-site-request-forgery-csrf-ataques-
informaticos-v
▶ https://www.synology.com/en-
us/company/news/article/Synology_Releases_DiskStation_Manager
_4_3
REISIÓN 1

▶ Te faltó el software propietario y el software libre que sirve para

realizar el escaneo de dichas vulnerabilidades (Cada uno con su
descripción),
▶ No tienes con que top 10 de OWASP se relaciona.
▶ Debes cumplir con lo siguiente tus diapositivas deben ser 66 (seis
líneas por seis palabras cada línea)
Software: Qualys Scan

Es una plataforma web que funciona libremente o bajo suscripción

que brinda con los servicio de escaneo de aplicaciones web a
través de diversas direcciones IP y manejada entre 3 o ilimitados
usuarios administradores.
Para ser utilizada es necesario registrar e iniciar sesión y basta con
montar la url de la aplicación que queramos escanear para poder
iniciar.
Enlace para iniciar:
https://www.qualys.com/forms/freescan/
Top 10 OWASP

Esta vulnerabilidad hace parte de la sección 8 del top 10 OWASP que

lleva su mismo nombre:
A8-Cross-Site Request Falsificación (CSRF):
Un ataque CSRF fuerza navegador de la víctima ha iniciado la sesión
para enviar una petición HTTP forjado, incluyendo cookie de sesión
de la víctima y cualquier otra información de autenticación se
incluye de forma automática, a una aplicación web vulnerable. Tal
ataque permite que el atacante no puede obligar navegador de
la víctima para generar solicitudes de la aplicación vulnerable
piensa que son las peticiones legítimas de la víctima.