CSRF / XSRF - Cross Site Request Forgery

Iniciado por Securitykill, 5 Abril 2008, 20:16 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2
Acciones del Usuario

sirdarckcat

#10
10 Abril 2008, 02:47 AM
Citareste tipo de bug solo se encuentran en cms creados por programadores que dicen que saben pero no saben nada...   cada aplicacion que uno crea hay que llevarlas al limite para ver donde hay bug..

y gracias por el manual... xD
Google, Microsoft, Paypal, eBay, Facebook, Myspace, hi5, y bugzilla (.mozilla.org) tienen o han tenido en mas de 2 ocasiones vulnerabilidades de CSRF ;)

Securitykill

#11
10 Abril 2008, 13:32 PM
Cita de: sirdarckcat en 10 Abril 2008, 02:47 AM
Citareste tipo de bug solo se encuentran en cms creados por programadores que dicen que saben pero no saben nada...   cada aplicacion que uno crea hay que llevarlas al limite para ver donde hay bug..

y gracias por el manual... xD
Google, Microsoft, Paypal, eBay, Facebook, Myspace, hi5, y bugzilla (.mozilla.org) tienen o han tenido en mas de 2 ocasiones vulnerabilidades de CSRF ;)

Me leiste la mente  :P

satan69

#12
10 Abril 2008, 18:48 PM
sirdarckcat pero eso hace mucho.. como ya estan usando codigos de validacion y otras tecnicas.. tonces no funciona

sirdarckcat

#13
11 Abril 2008, 20:19 PM
hace menos de 1 mes, y algunos de esos sitios aun son vulnerables

yeikos

#14
12 Abril 2008, 13:40 PM
XSS aprovecha la mala validación de caracteres y CSRF aprovecha la incorrecta autentificación del usuario...

sirdarckcat

#15
12 Abril 2008, 19:40 PM Ultima modificación: 12 Abril 2008, 19:44 PM por sirdarckcat
no, CSRF aprovecha la incorrecta autenticidad una acción por medio de la autentificación de la misma, al decir "la incorrecta autentificación del usuario" estas diciendo que CSRF se puede usar para burlar la fase de autentificación de un usuario en una sesión, lo cual no es verdad, dichos ataques se llaman session fixation, y en ese caso la victima es el sistema de validacion de sesiones del servidor, y no el usuario (que termina efecutando una operación no autentica al servidor), como lo es en CSRF.

Saludos!!

nachosaenz

#16
27 Agosto 2008, 21:37 PM
me ayudas no me sale la imagen del capcha en el navedador gracias por el aporte

Tec-n0x

#17
28 Agosto 2008, 03:29 AM
Cita de: nachosaenz en 27 Agosto 2008, 21:37 PM
me ayudas no me sale la imagen del capcha en el navedador gracias por el aporte

Pusiste como esta en el posT?

Código [Seleccionar]

<img src="nombre_del_archivo.php">

Eazy

#18
28 Agosto 2008, 08:47 AM
Alguien seria capas de hacer una aplicacion vulnerable para entrenamiento?, gracias.
[/url]

sirdarckcat

#19
29 Agosto 2008, 01:25 AM
Imprimir
Ir Arriba Páginas 1 2
Acciones del Usuario