Cookies de terceros y CSRF

1

¿Las cookies de terceros abren la posibilidad de CSRF donde puede que no exista? Estaba mirando una publicación de blog , así como una borrador de IETF sobre cookies del mismo sitio que parece que las cookies de terceros pueden hacer que CSRF suceda.

Mi confusión: CSRF ocurre cuando las cookies de sesión están presentes durante una solicitud de actualización a la aplicación web. ¿Esto se debe a que las cookies de sesión pueden ser cookies de terceros? Para que CSRF ocurra, aún necesitaría a) la estructura de solicitud correcta b) las cookies de sesión. ¿Cómo ayudan las cookies de terceros a CSRF? El único ángulo en el que puedo pensar es que el "tercero" probablemente CORS haya incluido en la lista blanca al "primer partido" como un dominio de solicitante legal. Si el tercero confía únicamente en la Política del mismo origen para la mitigación de CSRF, entonces podría estar en problemas.

¡Cualquier posible escenario de ataque sería altamente apreciado!

    
pregunta katrix 13.01.2017 - 17:07
fuente

2 respuestas

1

Los ataques CSRF se producen al realizar solicitudes legítimas a su sitio, pero sin el permiso del usuario.

Un ejemplo estándar es una transferencia bancaria. Has iniciado sesión en mybank.com . Al usar ese sitio, puede enviar un formulario para transferir dinero. Ahora, visita malicious-site.com y, en segundo plano, la página envía una versión oculta de ese formulario de transferencia; su navegador realiza la solicitud a mybank.com y envía todas las cookies mybank.com junto con él, y como resultado, ha transferido dinero sin darse cuenta.

Su navegador no sabe qué cookies contienen datos de sesión del sitio web; simplemente envía todas las coincidencias junto con cada solicitud.

Del mismo modo, las "cookies de terceros" se definen como cualquier cookie que pertenezca a un dominio que no sea el que está visitando actualmente.

La configuración actual de cookies de terceros en los navegadores está orientada a la privacidad y, por lo tanto, regula las cookies configuración . Es decir, si carga example.com y realiza una solicitud a cool-analytics.com , esa solicitud secundaria no tiene permiso para establecer nuevas cookies.

El atributo SameSite propuesto está orientado a prevenir el CSRF y, por lo tanto, afecta cuando las cookies de terceros se envían . En el ejemplo del banco anterior, cualquiera de los valores ( Lax o Strict ) enviaría la solicitud a mybank.com sin ninguna de las cookies almacenadas en su navegador para ese dominio que tiene ese atributo establecido; el resultado sería que su banco no reconocería su cuenta y, por lo tanto, denegaría la transferencia.

    
respondido por el Xiong Chiamiov 13.01.2017 - 20:29
fuente
2

Interpreto su pregunta como "Al configurar mi navegador para que acepte cookies de terceros, ¿me estoy volviendo más vulnerable a un ataque CSRF?"

La respuesta es no. Un ataque CSRF, también conocido como "montar sesión", implica aprovechar una cookie que ya existe, por ejemplo. una cookie de sesión para un sitio en el que ha iniciado sesión. No implica crear nuevas cookies; de hecho, el atacante en un escenario CSRF no tiene idea de cuál es el valor de la cookie (por lo que debe utilizar la cookie de otra persona) y, por lo tanto, no tiene forma de establecer una.

El principal riesgo con las cookies de terceros tiene que ver con la privacidad. La capacidad de un sitio para establecer una cookie de terceros significa que la primera parte puede decirle a un tercero dónde ha visitado, por ejemplo, Amazon puede decirle a un agregador de marketing que ha examinado un producto específico, y que ese agregador puede causar anuncios para que el producto aparezca en Facebook u otros sitios. Esto tiene un factor de "creepiness" considerable, aunque no existe una comunicación real entre Amazon y Facebook, y un tercero que no fue invitado a hacerlo por una de las primeras partes no ha robado ninguna información real.

    
respondido por el John Wu 13.01.2017 - 18:31
fuente

Lea otras preguntas en las etiquetas