CSRF: Un Nuevo TargetDYLAN IRZI - WEBSECURITYDEV

Quien Soy?

@DYLAN_IRZI11

Security Researcher in WebApp’s, &

Developer , I am young Colombian 18 years

#CyberPunk, #WhiteHat. #HackingEtico,

CEO de WebSecurityDev / Hall Of Fame

Owncloud, Microsoft / Adobe / Twitter/

Dropbox /

• Seguridad Web

• Pentester

• SEO (Search Engine Optimization).

dylan@websecuritydev.com

Agenda.

Motivación

CSRF Que es?

Explotación y Métodos

Herramientas ( T00lz )

( Demo ) Cross Site Request Forgery

Ataques Recientes

CSRF En Frameworks

( Demo )Hackeando Twitter con un Click.

Bypass CSRF

Cómo aprender sobre CSRF

Mecanismos de Protección

Por Que? Cross Site Request Forgery

CSRF -> Seguridad Web

CSRF -> Inyección POST SQL – Cross Site

Scripting.

CSRF -> Top 10: A8 EN OWASP Top 2013

CSRF - Cross-site request forgery.

Falsificación de Petición en Sitios Cruzados,

Cross-Site Request Forgery (CSRF) es un ataque donde la victima es

engañada para cargar información desde o enviar información a la

aplicación Web para la que se encuentra autenticado actualmente

Esta vulnerabilidad es conocida también por otros nombres como XSRF,

enlace hostil, ataque de un click, y ataque automático.

Descripción Grafica:

URL

MALICIOSA

Petición

Enviada

Respuesta

del Servidor

Beneficio para el

Atacante.

Where the problem is?

En no Implementar mecanismos de protección, para saber si es el Usuario

Validado sea quien realmente esta haciendo la petición de manera

autóctona y no de manera involuntaria y arbitraria.

GET

http://midominio.com/contrasena?nombre=midireccion@correo.com&contr

asenya=nuevacontraseña

POST

Explotación – Métodos.

Con Un Simple Enlace, o Imagen en sitio web o email, scripts.

Ingeniería Social

Ataques combinados ( XSS + CSRF + INGENERIA SOCIAL )

El Atacante obtiene del usuario:

la falsificación de petición del usuario.

Escalacion de privilegios

Beneficio para el atacante.

Explotación- T00lz.

Herramientas.

CSRF-TESTER

Se ofrece a los desarrolladores la capacidad de poner a prueba su

solicitudes En plataformas WebsApp para encontrar fallos CSRF.

LIVE HTTP HEADER – TAMPER DATA

complemento para el navegador Firefox que se utiliza para ver la

información de los encabezados de sitios web.

CSRF TESTERS

Tool’z

DEMO – CSRF.

Otros Ataques de CSRF – Recientes.

Syrian Electronic Army – Ataque Revista Forbes.

TP-Link TD-8840t - CSRF Vulnerability

Routers D-Link DIR-600L

D-Link DSL-2750B ADSL Router

Vulnerabilidad CSRF en Instagram

Cross-Site Request Forgery en Bugzilla

CSRF en Frameworks

CSRF En Ruby on Rails

CSRF En Django

CSRF En Ruby on Rails

Implementación de

Código de Token , Pero Sin

Comprobación de la

Misma.

CSRF En Ruby on Rails – Twitter

DEMO – CSRF En Ruby On Rails

Recompensa?

Otros Sitios:

https://preyproject.com/ ( Reconocido Aplicativo antirrobo y

geolocalización de dispositivos )

Dropbox.com

Readmill.com

CSRF En Django

Implementación de Token ,pero

comprobación por medio de

cabeceras.

Demo?

+

Targets:

Powerby HTML5

HTML5 reúne muchos componentes, entre ellos

XMLHttpRequest (XHR), Cross-origin resource sharing(CORS), WebSQL y localStorage.

“Los ataques con HTML5 son sigilosos, y en silencio”

Same-origin policy *.

Esto da campo permitiendo CSRF En (JSON) Ajax.

Hay Posibilidad! De Bypass?

CSRF Bypass!

Bypass!

Bypass CSRF.

CSRF protected settings page

Bypass CSRF.

DOM XSS in settings page

Bypass CSRF

Reading the anti-CSRF token

Bypass! Successful

Proof of Concept

Cómo aprender sobre CSRF

Download Webgoat from

www.OWASP.org

WebGoat es una aplicación web

deliberadamente insegura, mantenida

por OWASP diseñado para enseñar

lecciones de seguridad de aplicaciones

web.

Como Protegernos Y Evitar?

Como Protegernos Y Evitar?

http://mircozeiss.com/using-csrf-with-express-and-angular/

Dudas y Pregunta?

Gracias!