Autor
|
Tema: CSRF (Leído 2,826 veces)
|
fokin
Desconectado
Mensajes: 18
|
|
CSRF
« en: 21 Abril 2014, 22:53 pm » |
|
Hola! Me he hecho a mi mismo un ataque MiTM y me he puesto a sniffar el tráfico de mi teléfono móvil y tengo la siguiente pregunta.. Al entrar en una App se enviaba por GET un csrftoken, ¿Puedo hacer algo con eso? Es decir, consiguiendo el csrftoken de otro usuario que esté registrado en esa misma App, podría acceder a su cuenta o algo así? Gracias
EDIT: También he conseguido la sessionid
|
|
« Última modificación: 21 Abril 2014, 22:55 pm por fokin »
|
En línea
|
|
|
|
dantemc
Desconectado
Mensajes: 2.003
:D
|
|
Re: CSRF
« Respuesta #1 en: 22 Abril 2014, 16:29 pm » |
|
el token anti csrf es una medida de seguridad, si es un algoritmo débil podrás encontrar la semilla con la que se genera el token y ejecutar ataques de CSRF. ( algo dífícil, el burp tiene una herramienta para eso).
con la session ID tal vez puedas entrar a la cuenta. De cualquier manera para entrar solo necesitas la cookie.
|
|
|
En línea
|
8-D
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
CSRF
Nivel Web
|
Leber
|
1
|
3,075
|
15 Noviembre 2007, 00:51 am
por YaTaMaS
|
|
|
gmail CSRF
Nivel Web
|
Azielito
|
6
|
6,027
|
25 Marzo 2009, 13:54 pm
por sirdarckcat
|
|
|
problemas con CSRF
Nivel Web
|
lol46
|
4
|
3,505
|
11 Septiembre 2009, 23:09 pm
por tomrian
|
|
|
Que es CSRF?
Nivel Web
|
Banti
|
5
|
8,433
|
2 Diciembre 2009, 09:03 am
por Banti
|
|
|
Facebook CSRF - RECONNECT
Bugs y Exploits
|
el-brujo
|
0
|
3,033
|
12 Marzo 2015, 18:26 pm
por el-brujo
|
|