CSRF / XSRF - Cross Site Request Forgery

Iniciado por Securitykill, 5 Abril 2008, 20:16 PM

0 Miembros y 2 Visitantes están viendo este tema.

sirdarckcat

Citareste tipo de bug solo se encuentran en cms creados por programadores que dicen que saben pero no saben nada...   cada aplicacion que uno crea hay que llevarlas al limite para ver donde hay bug..

y gracias por el manual... xD
Google, Microsoft, Paypal, eBay, Facebook, Myspace, hi5, y bugzilla (.mozilla.org) tienen o han tenido en mas de 2 ocasiones vulnerabilidades de CSRF ;)

Securitykill

Cita de: sirdarckcat en 10 Abril 2008, 02:47 AM
Citareste tipo de bug solo se encuentran en cms creados por programadores que dicen que saben pero no saben nada...   cada aplicacion que uno crea hay que llevarlas al limite para ver donde hay bug..

y gracias por el manual... xD
Google, Microsoft, Paypal, eBay, Facebook, Myspace, hi5, y bugzilla (.mozilla.org) tienen o han tenido en mas de 2 ocasiones vulnerabilidades de CSRF ;)

Me leiste la mente  :P

satan69

sirdarckcat pero eso hace mucho.. como ya estan usando codigos de validacion y otras tecnicas.. tonces no funciona

sirdarckcat

hace menos de 1 mes, y algunos de esos sitios aun son vulnerables

yeikos

XSS aprovecha la mala validación de caracteres y CSRF aprovecha la incorrecta autentificación del usuario...

sirdarckcat

#15
no, CSRF aprovecha la incorrecta autenticidad una acción por medio de la autentificación de la misma, al decir "la incorrecta autentificación del usuario" estas diciendo que CSRF se puede usar para burlar la fase de autentificación de un usuario en una sesión, lo cual no es verdad, dichos ataques se llaman session fixation, y en ese caso la victima es el sistema de validacion de sesiones del servidor, y no el usuario (que termina efecutando una operación no autentica al servidor), como lo es en CSRF.

Saludos!!

nachosaenz

me ayudas no me sale la imagen del capcha en el navedador gracias por el aporte

Tec-n0x

Cita de: nachosaenz en 27 Agosto 2008, 21:37 PM
me ayudas no me sale la imagen del capcha en el navedador gracias por el aporte

Pusiste como esta en el posT?


<img src="nombre_del_archivo.php">

Eazy

Alguien seria capas de hacer una aplicacion vulnerable para entrenamiento?, gracias.
[/url]

sirdarckcat