Cross-site request forgery

David Rivera

Santiago Alvarez

Definición de la vulnerabilidad

Conocida como One-click attack o Session riding abreviada a CSRF (pronunciado sea-surf) o XSRF.

Ataque que afecta las aplicaciones web con una estructura predecible para la invocación (llamado de acciones) y que use cookies, autenticacion por browser o certificados del lado del cliente

Definición (cont...)

Vulnerabilidad conocida desde el 2001 por Peter Watkins [1].

XSS explota la confianza de un usuario con cierto sitio

CSRF explota la confianza de un sitio con cierto usuario.

¿Qué es?

Es un exploit malicioso para los sitios web.

Un usuario envia peticiones maliciosas con el fin de cambiar u obtener información aprovechandose de la confiabilidad que tiene el sitio con el usuario en cuestion.

¿Cómo ataca?

El usuario se debe autenticar al sitio objetivo

El atacante puede incluir un link o script en un sitio alterno que la victima visite.

Cuando la victima visite el sitio alterno, el script malicioso se ejecutará sin que la victima se percate.

¿Cómo ataca? (cont..)

La mayoria de sitios almacenan información sensible en los navegadores:

Cookies de sesión
Credenciales de autenticacion
Direccion IP
Credenciales de dominio

Si el usuario actual esta autenticado, el sitio objetivo no tendrá forma de distinguir la legitimidad de la peticion del usuario

¿Cómo prevenirla?

(3 estrategias)

Synchronizer Token Pattern

Técnica en la cual un token (secreto y único para cada peticion) es embebido en la aplicación y verificado en el lado del servidor.

Asegurar: Impredecible y único.

<input type="hidden" name="csrfmiddlewaretoken" value="KbyUmhTLMpYj7CD2di7JKP1P3qmLlkPt">

Autenticación adicional y CAPTCHA

Repetir la autnticación luego de operaciones de seguridad crítica, como transferencias de dinero o cambio de password.

Puede ser un login (username & password) o un nivel mas alto como la autenticación de dos factores [2].

Cookie-to-Header Token

Usar una técnica anti-CSRF para las peticiones Javascript que depende de same-origin policy.

Setear una cookie que contenga un token aleatorio que permanece por toda la sesion del usuario.
Cada operación en el cliente envia el token en la cabecera de la petición HTTP.
El servidor valida la presencia e integridad del token.

Ejemplo

Con CSRF


<!-- EXPLOIT -->
<img src="http://localhost:8000/delete/2" alt="Esto es un exploit">

Sin CSRF

Referencias

[1] Burns, J. Cross Site Request Forgery: An introduction to a common web application weakness. 2005

[2] Cross-site request forgery. (2014, August 5). In Wikipedia, The Free Encyclopedia. Retrieved 18:14, August 17, 2014, from http://en.wikipedia.org/w/index.php?title=Cross-site_request_forgery&oldid=620006496