Foro de elhacker.net

Seguridad Informática => Hacking => Mensaje iniciado por: NikNitro! en 11 Septiembre 2017, 14:09 pm



Título: Problema CSRF con jquery-3.1.1.min.js
Publicado por: NikNitro! en 11 Septiembre 2017, 14:09 pm
Buenas gente. Os cuento: tengo un servidor corriendo Django 1.11.
Resulta que tras una auditoría me han dicho que hay una falla CSRF en la ruta /static/app/scripts/jquery-3.1.1.min.js, pero esto es solamente un javascript que, en teoría (https://domstorm.skepticfx.com/modules/?id=58b175ed8356fff96a5a42c2) no tiene fallos. ¿Puede ser un falso positivo?

Acudo a vosotros tras horas de Google porque no encuentro solución  :(

Había pensado también ocultar la carpeta static al exterior (estoy usando nginx) pero no sé si eso funcionaría.

Saludos y gracias;)


Título: Re: Problema CSRF con jquery-3.1.1.min.js
Publicado por: DLV en 20 Noviembre 2017, 14:07 pm
Yo creo que es un falso positivo de seguro alguna herramienta automatizada usaron. mi humilde opinion, en caso de que alguien sepa el "como" por favor explicar.  ;-)


Título: Re: Problema CSRF con jquery-3.1.1.min.js
Publicado por: Luis Leon B en 29 Noviembre 2017, 06:36 am
No existen XSRF en Jquery :/
A ver, pero si metes a un aributo que se supone debe ser booleano un "aCjMe12", entra en un bucle recursivo infinito que te tilda la página completa. Lo acabo de investigar.


Título: Re: Problema CSRF con jquery-3.1.1.min.js
Publicado por: T1cxT4c en 4 Diciembre 2017, 06:29 am
amigo a ver te explico csrf necesita hacer una peticion que cambiara valores de la victima que este logeada en ese lugar , como tambien se puede hacer un robo de session una que otra cosa mas pero , para que eso suceda tienen que hacer una peticion a un formulario o alguna cosa que grabe datos , es muy estupido que te hayan dicho que tienen un csrf en jquery lo mas posible es que utilizaron algo automatizado o que los que te hicieron la auditoria sean novatos.

esa es mi humilde opinion soy infomatico con conocimientos intermedio , ya echo algunas pruebas de csrf en forma etica y e podido determinar lo que dije anteriormente , siempre manejando la etica que vivan los hackers eticos a la mrd lo crackers o black hat.