elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  Diferencias de los usos en tipos de ataques XSS, CSRF o XSRF
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Diferencias de los usos en tipos de ataques XSS, CSRF o XSRF  (Leído 6,601 veces)
d3xf4ult


Desconectado Desconectado

Mensajes: 332


Ver Perfil WWW
Diferencias de los usos en tipos de ataques XSS, CSRF o XSRF
« en: 7 Junio 2011, 15:26 pm »

Quisiera saber o tener más claro...
Simplemente definir las principales características que diferencian estos ataques, he buscando por la red pero quisiera que alguno pueda simplificarme el tema de manera sencilla con algún ejemplo práctico ficticio.
Gracias
En línea

int_0x40


Desconectado Desconectado

Mensajes: 300


Ver Perfil
Re: Diferencias de los usos en tipos de ataques XSS, CSRF o XSRF
« Respuesta #1 en: 7 Junio 2011, 18:39 pm »

XSS es un ataque que obliga a un sitio web, mediante la inyeccion comunmente de html/javascript ofuscado o no, a mostrar o ejecutar codigo malicioso en el navegador de los usuarios que lo visiten, NO en el server. El server solo es vector o conducto para atacar al usuario, es decir al browser. Una vez controlado el navegador de la victima el atacante puede hacer muchas cosas. Un ejemplo seria mandar por mail al usuario un url del tipo http://www.google.com/url?q=http://1.2.3.4/signin.ebay.com/members_Log-in.htm que puede venir parcialmente codificado en hexadecimal de tal modo que parezca remitir a un sitio legitimo, le da click y se ejecuta js en su browser para robo de datos de sesion de la victima que se mandan sin su conocimiento al server del atacante. Con esa informacion este ultimo puede entrar a la cuenta de la victima, hacer cosas  en su lugar o robar mas info.

CSRF
Es un ataque en el que se hacen alteraciones a las peticiones que se hacen desde un sitio a otro, por ejemplo a traves de iframes ------>

<iframe src=https://tu_banco_seguro.com></iframe>

Estas autenticado en tu_banco_seguro.com y visitas una pagina con codigo como el de arriba. Asumiendo que tu navegador entiende y procesa el tag IFRAME, no solo mostrara el sitio web tu banco seguro, sino que tambien enviara tus cookies.
Que pasaria si el atacante logra montarse en tu sesion y realizar un ataque CSRF contra tu banco seguro?
--------->

<iframe src=https://tu_banco_seguro.com/transferfunds.asp?amnt=100&acct=cuentaatacante></iframe>

El codigo de arriba intentaria que el usuario, o sea tu, hicieras algo en beneficio del atacante: mandar 100 dolares a su cuenta :D
Espero haber ayudado.

Un saludo.
En línea

"The girl i love...she got long black wavy hair ”
d3xf4ult


Desconectado Desconectado

Mensajes: 332


Ver Perfil WWW
Re: Diferencias de los usos en tipos de ataques XSS, CSRF o XSRF
« Respuesta #2 en: 8 Junio 2011, 00:36 am »

Tenía ñeves ideas, había buscado info sobre vulnerabilidades XSS.
Pero con lo aclarado por ti más estos videos, entre otros. Me quedó claro la idea y finalidad de este ataque. Gracias

http://www.youtube.com/watch?v=Vg7lhWuPjMY
http://www.youtube.com/watch?v=Cevlym76CWI
http://www.youtube.com/watch?v=OkiMTqYD1_Q

Referencio los videos como aporte.  ;D
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
CSRF / XSRF - Cross Site Request Forgery « 1 2 »
Nivel Web
Securitykill 19 11,687 Último mensaje 29 Agosto 2008, 01:25 am
por sirdarckcat
Clase PHP para agilizar CSRF/XSRF y CaptureIP Image
PHP
WarGhost 0 1,519 Último mensaje 27 Febrero 2013, 20:06 pm
por WarGhost
ayuda ataque CSRF/XSRF
Nivel Web
Zeta1337 0 1,801 Último mensaje 2 Diciembre 2014, 02:11 am
por Zeta1337
[Problema]: Sistema anti ataques (CSRF)
PHP
Leguim 5 2,568 Último mensaje 16 Octubre 2019, 23:01 pm
por Leguim
DNS usos y tipos
Redes
D@niel99 6 3,323 Último mensaje 11 Enero 2021, 13:37 pm
por el-brujo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines