Me he dado cuenta de que WordPress no tiene protección csrf para el inicio de sesión del panel de administración / wp-admin / . ¿Posee realmente algún riesgo potencial? ¿Hay alguna forma posible de que un atacante pueda explotar esto?
¿Es necesario tener tokens csrf para los formularios de inicio de sesión?
En general, se sugiere que los tokens CSRF se apliquen a los formularios de inicio de sesión para evitar ataques de donación de sesión. La idea es que puede engañar a un usuario para que visite un enlace y que se conecte con una cuenta que usted controla. Luego realizan alguna acción que involucra el almacenamiento de cierta información secreta en la cuenta, sin darse cuenta de que han iniciado sesión como usted, y eso se guarda en su cuenta.
Un ejemplo simple podría ser un sitio de carga de archivos. Si puede engañarlos para que inicien sesión como usted, pueden cargar un archivo confidencial en su cuenta en lugar de en la suya, y luego puede robar ese archivo.
Para Wordpress esto probablemente no sea tan importante, ya que no es particularmente aplicable a la funcionalidad que proporciona Wordpress, y el panel de administración de wp no es realmente un área de "usuario general" en la que un atacante tendría una cuenta válida. cuenta para.
El escenario que describió, en el que el formulario de inicio de sesión no incluye un token CSRF puede dar lugar a una situación en la que un atacante utiliza sus propias credenciales para registrar a la víctima en el la cuenta del atacante y si el usuario desconoce a qué cuenta está conectado, el atacante puede ver qué acciones realizó la víctima, incluido lo sugerido anteriormente, cualquier archivos confidenciales que la víctima podría haber subido. Este ataque se llama como CSRF de inicio de sesión .
Wordpress no parece pensar que representa un riesgo. Dichos ataques han sido demostrados contra importantes compañías como Google y Yahoo. De Wikipedia:
Iniciar sesión CSRF hace posible varios ataques nuevos; por ejemplo, un atacante puede iniciar sesión en el sitio con sus credenciales legítimas y ver información privada como el historial de actividades que se ha guardado en la cuenta. Este ataque se ha demostrado contra Google y Yahoo.
En general, sugeriría tener un mecanismo anti-CSRF para el formulario de inicio de sesión, ya sea que compruebe Origin o CSRF Tokens entre otros.
La fuente de la página wiki anterior: enlace
Para obtener más información y otros escenarios de ataque , consulte enlace
¿Es necesario tener tokens csrf para los formularios de inicio de sesión?
En referencia a Wordpress - No, no lo es. Las páginas de inicio de sesión no son susceptibles a CSRF. Toda la premisa de CSRF es que el usuario ya está ya autenticado en la aplicación cuando se envían los datos no deseados.
Por OWASP:
"CSRF es un ataque que obliga a un usuario final a ejecutar no deseado acciones en una aplicación web en la que él / ella está actualmente autenticado Con un poco de ayuda de la ingeniería social (como el envío un enlace por correo electrónico / chat), un atacante puede forzar a los usuarios de una web Aplicación para ejecutar acciones a elección del atacante. UNA el éxito del CSRF puede comprometer los datos y el funcionamiento del usuario final en caso de usuario normal. Si el usuario final objetivo es el administrador cuenta, esto puede comprometer toda la aplicación web. "
Para obtener más información, consulte: enlace
Lea otras preguntas en las etiquetas authentication csrf wordpress