Diferencias de los usos en tipos de ataques XSS, CSRF o XSRF

Iniciado por d3xf4ult, 7 Junio 2011, 15:26 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

d3xf4ult

7 Junio 2011, 15:26 PM
Quisiera saber o tener más claro...
Simplemente definir las principales características que diferencian estos ataques, he buscando por la red pero quisiera que alguno pueda simplificarme el tema de manera sencilla con algún ejemplo práctico ficticio.
Gracias

int_0x40

#1
7 Junio 2011, 18:39 PM
XSS es un ataque que obliga a un sitio web, mediante la inyeccion comunmente de html/javascript ofuscado o no, a mostrar o ejecutar codigo malicioso en el navegador de los usuarios que lo visiten, NO en el server. El server solo es vector o conducto para atacar al usuario, es decir al browser. Una vez controlado el navegador de la victima el atacante puede hacer muchas cosas. Un ejemplo seria mandar por mail al usuario un url del tipo http://www.google.com/url?q=http://1.2.3.4/signin.ebay.com/members_Log-in.htm que puede venir parcialmente codificado en hexadecimal de tal modo que parezca remitir a un sitio legitimo, le da click y se ejecuta js en su browser para robo de datos de sesion de la victima que se mandan sin su conocimiento al server del atacante. Con esa informacion este ultimo puede entrar a la cuenta de la victima, hacer cosas  en su lugar o robar mas info.

CSRF
Es un ataque en el que se hacen alteraciones a las peticiones que se hacen desde un sitio a otro, por ejemplo a traves de iframes ------>

<iframe src=https://tu_banco_seguro.com></iframe>

Estas autenticado en tu_banco_seguro.com y visitas una pagina con codigo como el de arriba. Asumiendo que tu navegador entiende y procesa el tag IFRAME, no solo mostrara el sitio web tu banco seguro, sino que tambien enviara tus cookies.
Que pasaria si el atacante logra montarse en tu sesion y realizar un ataque CSRF contra tu banco seguro?
--------->

<iframe src=https://tu_banco_seguro.com/transferfunds.asp?amnt=100&acct=cuentaatacante></iframe>

El codigo de arriba intentaria que el usuario, o sea tu, hicieras algo en beneficio del atacante: mandar 100 dolares a su cuenta :D
Espero haber ayudado.

Un saludo.
"The girl i love...she got long black wavy hair "

d3xf4ult

#2
8 Junio 2011, 00:36 AM
Tenía ñeves ideas, había buscado info sobre vulnerabilidades XSS.
Pero con lo aclarado por ti más estos videos, entre otros. Me quedó claro la idea y finalidad de este ataque. Gracias

http://www.youtube.com/watch?v=Vg7lhWuPjMY
http://www.youtube.com/watch?v=Cevlym76CWI
http://www.youtube.com/watch?v=OkiMTqYD1_Q

Referencio los videos como aporte.  ;D
Imprimir
Ir Arriba Páginas1
Acciones del Usuario