|
Título: Diferencias de los usos en tipos de ataques XSS, CSRF o XSRF Publicado por: d3xf4ult en 7 Junio 2011, 15:26 pm Quisiera saber o tener más claro...
Simplemente definir las principales características que diferencian estos ataques, he buscando por la red pero quisiera que alguno pueda simplificarme el tema de manera sencilla con algún ejemplo práctico ficticio. Gracias Título: Re: Diferencias de los usos en tipos de ataques XSS, CSRF o XSRF Publicado por: int_0x40 en 7 Junio 2011, 18:39 pm XSS es un ataque que obliga a un sitio web, mediante la inyeccion comunmente de html/javascript ofuscado o no, a mostrar o ejecutar codigo malicioso en el navegador de los usuarios que lo visiten, NO en el server. El server solo es vector o conducto para atacar al usuario, es decir al browser. Una vez controlado el navegador de la victima el atacante puede hacer muchas cosas. Un ejemplo seria mandar por mail al usuario un url del tipo http://www.google.com/url?q=http://1.2.3.4/signin.ebay.com/members_Log-in.htm que puede venir parcialmente codificado en hexadecimal de tal modo que parezca remitir a un sitio legitimo, le da click y se ejecuta js en su browser para robo de datos de sesion de la victima que se mandan sin su conocimiento al server del atacante. Con esa informacion este ultimo puede entrar a la cuenta de la victima, hacer cosas en su lugar o robar mas info.
CSRF Es un ataque en el que se hacen alteraciones a las peticiones que se hacen desde un sitio a otro, por ejemplo a traves de iframes ------> <iframe src=https://tu_banco_seguro.com></iframe> Estas autenticado en tu_banco_seguro.com y visitas una pagina con codigo como el de arriba. Asumiendo que tu navegador entiende y procesa el tag IFRAME, no solo mostrara el sitio web tu banco seguro, sino que tambien enviara tus cookies. Que pasaria si el atacante logra montarse en tu sesion y realizar un ataque CSRF contra tu banco seguro? ---------> <iframe src=https://tu_banco_seguro.com/transferfunds.asp?amnt=100&acct=cuentaatacante></iframe> El codigo de arriba intentaria que el usuario, o sea tu, hicieras algo en beneficio del atacante: mandar 100 dolares a su cuenta :D Espero haber ayudado. Un saludo. Título: Re: Diferencias de los usos en tipos de ataques XSS, CSRF o XSRF Publicado por: d3xf4ult en 8 Junio 2011, 00:36 am Tenía ñeves ideas, había buscado info sobre vulnerabilidades XSS.
Pero con lo aclarado por ti más estos videos, entre otros. Me quedó claro la idea y finalidad de este ataque. Gracias http://www.youtube.com/watch?v=Vg7lhWuPjMY (http://www.youtube.com/watch?v=Vg7lhWuPjMY) http://www.youtube.com/watch?v=Cevlym76CWI (http://www.youtube.com/watch?v=Cevlym76CWI) http://www.youtube.com/watch?v=OkiMTqYD1_Q (http://www.youtube.com/watch?v=OkiMTqYD1_Q) Referencio los videos como aporte. ;D |