¿Cuáles son las características comunes para identificar un ataque CSRF desde el archivo de registro de Apache?

Navega tus respuestas
2

He intentado el ataque CSRF en la aplicación de vulnerabilidad web conocida como DVWA en mi localhost y en el sistema operativo Linux kali. He cambiado la contraseña en esta aplicación utilizando CSRF. Se ha recopilado siguiendo las entradas del registro en el registro de acceso. 

127.0.0.1 - - [15/Dec/2018:22:01:21 +0530] "GET /DVWA/vulnerabilities/csrf/?password_new=abc123&password_conf=abc123&Change=Change HTTP/1.1" 200 4303

Si un usuario autenticado intentará cambiar la contraseña, las mismas entradas estarán allí en el archivo de registro.

Quiero saber que cuáles son las características comunes / expertas en el archivo de registro que identificarán que se ha realizado el ataque CSRF.

Nota: estoy haciendo un análisis de registro para escribir un algoritmo que aumentará la precisión en el descubrimiento de los usuarios sospechosos a través del archivo de registro basado en las características de CSRF. Quiero ayuda para descubrir las características. He leído la información de este enlace importante sobre características de CSRF en el registro archivo . Tu ayuda sería apreciada.

    
pregunta Shree 16.12.2018 - 21:19
fuente

2 respuestas

1

Si no tiene la protección CSRF , puede recopilar de los registros que se ha accedido a una página de forma espontánea, sin pasar por el conjunto de páginas esperado (cada una de ellas incluye su CSRF). token).

Desafortunadamente, si su sitio está siendo escaneado y caminado, este enfoque fuera de banda no funcionará fácilmente, y en ese caso el volumen de consultas puede ser una indicación (posiblemente de un ataque / reconocimiento, no de un CSRF). atacar específicamente)

En otras palabras, no hay indicaciones claras de que se esté realizando un ataque CSRF.

Si tiene protección CSRF en su lugar, depende de dónde se encuentre el token.

  • Si está en el cuerpo de la solicitud (específicamente, los encabezados), tampoco lo verás en los registros.
  • Si está en los argumentos de URL, entonces puede buscar en los registros las URL que no tienen el token.
respondido por el WoJ 16.12.2018 - 21:30
fuente
0

Creo que será difícil encontrar características que sean lo suficientemente precisas como para darte un número bajo de falsos positivos (basado únicamente en la configuración predeterminada de Apache y sin aumentar el registro).

La forma en que resolvimos esto antes era habilitar CSRF y registrar cualquier error CSRF con sus páginas y la cuenta que tenía la infracción.

    
respondido por el Lucas Kauffman 17.12.2018 - 02:03
fuente

Lea otras preguntas en las etiquetas

¿Es seguro que el puerto 443 no esté protegido por firewall sin aplicación? ¿Algún problema con los certificados UCC (multidominio) SSL en iOS y Windows Phones?