csrf + clickjacking

1

http://abirtone.com/formacion/hacking-web-owasp-top-10/

rafa@abirtone.com

@R_a_ff_a_e_ll_o

Hacking Web

CSRF + Clickjacking

@R_a_ff_a_e_ll_o

• ¿Qué es esto?oUna muestra de cómo se

imparte la formación en Abirtone

oNo es una charlaoSiempre enfoque práctico

[Intro]

@R_a_ff_a_e_ll_o

@R_a_ff_a_e_ll_o

• Que nadie se asuste… lo explicaremos mejor durante el curso

[CSRF]

@R_a_ff_a_e_ll_o

…consists of deceiving a web user into interacting (in most cases by clicking) with something different to what the user believes they are interacting with…

[Clickjacking]

@R_a_ff_a_e_ll_o

[Clickjacking]

@R_a_ff_a_e_ll_o

[Clickjacking]

Quiero hacer una Transferencia

bank.com?param1=111&param2

bank.com

Confirmar

Confirmar transferencia

@R_a_ff_a_e_ll_o

[Clickjacking]

Quiero hacer una Transferencia

bank.com?param1=111&param2

bank.com

Confirmar

Confirmar transferencia

[CSRF Token]

[CSRF Token][CSRF Token]

@R_a_ff_a_e_ll_o

[Clickjacking]

Quiero hacer una Transferencia

bank.com?param1=111&param2

bank.com

ConfirmarConfirmar transferen-

cia

[CSRF Token]

[CSRF Token][CSRF Token]

@R_a_ff_a_e_ll_o

[Clickjacking]

@R_a_ff_a_e_ll_o

[Abirtone BANK]

@R_a_ff_a_e_ll_o

[Abirtone BANK]

@R_a_ff_a_e_ll_o

[Clickjacking]

• Protección

@R_a_ff_a_e_ll_o

[Clickjacking]

X-Frame-Options Header

• DENY, prevents any domain from framing the content.• SAMEORIGIN, which only allows the current site to frame the

content.• ALLOW-FROM uri, which permits the specified 'uri' to frame this

page. (e.g., ALLOW-FROM http://www.example.com)

@R_a_ff_a_e_ll_o

Nos vemos el 1 de Febrero en…