Cross-Site Request Forgery (CSRF)

Los ataques de falsificación de petición en sitios cruzados, más conocidos por los términos en inglés CSRF, XSRF, o Sea-Surf, consisten en el envío de peticiones HTTP, a un sitio web vulnerable, a través del navegador web de un usuario sin el consentimiento ni conocimiento de este.

Se aprovecha la confianza que tiene la aplicación web en el usuario a través del cual se están realizando las peticiones HTTP.

Imaginemos que de repente aparecen contenidos en nuestra página de Facebook, Twitter u operaciones en las aplicaciones web de nuestro trabajo que aparecen como si las hubiéramos realizados nosotros. Si buscamos desde donde se originó las peticiones HTTP, surge nuestra dirección IP. Un ataque CSRF puede realizar esto sin esfuerzo alguno, por eso es tan importante protegerse de él.

En  Wikipedia pueden encontrar una breve explicación en español que les permitirá ver otras aristas del problema.

Por otra parte, OWASP nos propone una serie de recomendaciones para evitar los ataques CSRF, me gustó también el ejemplo que se muestra en el portal de Acunetix.

Si conoces otros materiales interesantes sobre los CSRF te agradecería que dejaras los enlaces en los comentarios de este post para estudiarlos y que les sirvan a los lectores del blog.

Anuncios

Un comentario en “Cross-Site Request Forgery (CSRF)

  1. Pingback: (OTG-AUTHN-005) Testing for Vulnerable Remember Password | Behique Digital

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s