Usando el mismo token CSRF para la creación de varias cuentas [cerrado]

-5

Al hacer Pentesting a través de algunos sitios, descubrí que se pueden crear varias cuentas con el mismo token CSRF que no debería permitirse. Quiero ubicar dos escenarios para describir mi pregunta.

Escenario 1: se pueden crear varias cuentas en el sitio con el mismo token CSRF y no es necesario verificar la cuenta para usarla, es decir, una vez que se ingresan la contraseña y el correo electrónico, puede comenzar a usar su cuenta directamente.

Escenario 2: - En este sitio también se pueden crear varias cuentas, pero el usuario debe verificar la dirección de correo electrónico para comenzar a usar la cuenta.

Desde arriba podemos ver claramente que el Primer sitio web representa un gran riesgo para la seguridad. Por lo tanto, mi pregunta es "¿Puede el Escenario 2 también crear cierto riesgo para el sitio web"?

    
pregunta justtrying123 04.04.2014 - 12:52
fuente

1 respuesta

3

Primero, la protección CSRF no es parte del problema o solución aquí, solo está sobrecargando el término para ser sinónimo de sesión. Como señalé en mi comentario, la protección CSRF es principalmente para proteger contra un atacante que realiza una acción en nombre de una víctima autenticada. La creación de cuentas (en la mayoría de los casos) es una acción realizada por un usuario no autenticado. En general, no permite que un usuario autenticado cree una cuenta, CSRF o no CSRF. (Las interfaces de administración de membresía están fuera del alcance de esta discusión).

La pregunta final que veo aquí es "¿Importa si una sola sesión del navegador crea varias cuentas, si la verificación del correo electrónico es parte del proceso de creación del usuario?"

La respuesta es, depende, pero probablemente no. Lo que es importante es, ¿contra qué amenazas intenta protegerse?

¿Creación automática de usuarios de spam? En ese caso, probablemente no importa. Es bastante fácil para un bot desechar las cookies de sesión y, por lo general, no siguen un proceso de verificación por correo electrónico.

Si está tratando de protegerse contra spammers no sofisticados, puede ofrecer un poco de protección adicional. No mucho, pero un poco. Sin embargo, diría que esto también es cierto para su escenario 1. Incluso sin la verificación por correo electrónico, no hay mucho que ganar aquí, en términos de seguridad. Obtendrá, de lejos, la protección más adicional contra la validación de correo electrónico (y otras medidas adicionales, como un captcha, o la limitación del número de cuentas que se pueden crear con una sola dirección IP) y muy poco por intentar limitar el número de usuarios creados por una sesión de navegador.

    
respondido por el Xander 05.04.2014 - 20:21
fuente

Lea otras preguntas en las etiquetas