Título: CSRF Publicado por: fokin en 21 Abril 2014, 22:53 pm Hola!
Me he hecho a mi mismo un ataque MiTM y me he puesto a sniffar el tráfico de mi teléfono móvil y tengo la siguiente pregunta.. Al entrar en una App se enviaba por GET un csrftoken, ¿Puedo hacer algo con eso? Es decir, consiguiendo el csrftoken de otro usuario que esté registrado en esa misma App, podría acceder a su cuenta o algo así? Gracias EDIT: También he conseguido la sessionid Título: Re: CSRF Publicado por: dantemc en 22 Abril 2014, 16:29 pm el token anti csrf es una medida de seguridad, si es un algoritmo débil podrás encontrar la semilla con la que se genera el token y ejecutar ataques de CSRF. ( algo dífícil, el burp tiene una herramienta para eso).
con la session ID tal vez puedas entrar a la cuenta. De cualquier manera para entrar solo necesitas la cookie. |