Inicio de sesión en CSRF: ¿Puede el inicio de sesión del atacante utilizando credenciales válidas?

2

Considere la imagen a continuación (tomada de página 21 aquí ). es posible? Si es así, ¿cómo puedo prevenirlo?

    
pregunta Akam 13.03.2013 - 07:38
fuente

2 respuestas

2

Sí, es posible. O más bien, sería posible, excepto que Google ha implementado contramedidas para defenderse precisamente de este ataque.

Este ataque se conoce como "inicio de sesión CSRF". Es similar a un ataque CSRF estándar, pero un poco diferente. Si busca en "inicio de sesión CSRF", encontrará información sobre el ataque. Es una amenaza real contra algunos servicios web. Para obtener más información, consulte mi respuesta a una pregunta relacionada y el siguiente trabajo de investigación:

Consulte especialmente las Secciones 1-3 de ese trabajo de investigación para obtener más detalles técnicos. El artículo describe cómo defenderse contra el ataque.

La versión corta de cómo defenderse contra el ataque es que incluye un token CSRF secreto en todas las solicitudes POST, incluidos los intentos de inicio de sesión; y en el lado del servidor, necesita que los intentos de inicio de sesión tengan incluido el token CSRF secreto adecuado. OWASP tiene más información sobre cómo implementar tokens CSRF secretos.

    
respondido por el D.W. 13.03.2013 - 09:52
fuente
2

El objetivo de un ataque CSRF no es, por lo general, robar credenciales o iniciar sesión con detalles robados, sino obtener una cuenta válida para realizar una acción elegida por el atacante. Por ejemplo, si un administrador de un sitio de destino fue víctima de un ataque CSRF, puede elevar una cuenta de no administrador a una cuenta de administrador sin darse cuenta.

Esto puede suceder a través de una falla XSS en el sitio de destino, o se puede engañar al administrador para que visite un sitio web malicioso que ejecute un comando contra el sitio de destino (como se muestra en la imagen de arriba). O el administrador podría haber sido engañado para que visitara su propio sitio directamente, por ejemplo: http://somesite.com/edit_user.php?action=setClass&class=admin&userId=23443 (no estoy seguro si esto sigue siendo CSRF, o si solo es ingeniería social).

Para protegerse contra esto, puede usar CAPTCHAS en páginas que realizan acciones importantes, o puede usar códigos hash secretos para intentar verificar que se desea una solicitud.

Aquí hay una buena descripción y sugerencias para las contramedidas: enlace

    
respondido por el GBC 13.03.2013 - 08:33
fuente

Lea otras preguntas en las etiquetas