Charla: CSRF: El Nuevo Target. Mi presentacion en DragonJARCON. Cross Site Request Forgery ( CSRF ) sigue siendo una amenaza significativa para las aplicaciones web y los datos del usuario, significativa si con un poco de ingenio la sabe llevar hasta sus últimas instancias; OSWAP la califica dentro del TOP10 de vulnerabilidades que más se encuentra en las aplicaciones web, esta presentación se busca dar a explicar el alto riesgo de esta vulnerabilidad, puesto que conlleva el uso de técnicas de phising y ataques sofisticados para lograr el objetivo. Clasificando esta vulnerabilidad con 3 tipos distintos y demostrar que hasta los “gigantes” de la internet pueden tener este tipo de fallos. En la presentación también están las medidas de protección del CSRF podría prevenirse en la en las aplicaciones web.

1. CSRF: Un Nuevo Target
DYLAN IRZI - WEBSECURITYDEV

2. Quien Soy?
@DYLAN_IRZI11
Security Researcher in WebApp’s, &
Developer , I am young Colombian 18 years
#CyberPunk, #WhiteHat. #HackingEtico,
CEO de WebSecurityDev / Hall Of Fame
Owncloud, Microsoft / Adobe / Twitter/
Dropbox /
• Seguridad Web
• Pentester
• SEO (Search Engine Optimization).
dylan@websecuritydev.com

3. Agenda.
 Motivación
 CSRF Que es?
 Explotación y Métodos
 Herramientas ( T00lz )
 ( Demo ) Cross Site Request Forgery
 Ataques Recientes
 CSRF En Frameworks
 ( Demo )Hackeando Twitter con un Click.
 Bypass CSRF
 Cómo aprender sobre CSRF
 Mecanismos de Protección

4. Por Que? Cross Site Request Forgery
 CSRF -> Seguridad Web
 CSRF -> Inyección POST SQL – Cross Site
Scripting.
 CSRF -> Top 10: A8 EN OWASP Top 2013

5. CSRF - Cross-site request forgery.
 Falsificación de Petición en Sitios Cruzados,
 Cross-Site Request Forgery (CSRF) es un ataque donde la victima es
engañada para cargar información desde o enviar información a la
aplicación Web para la que se encuentra autenticado actualmente
 Esta vulnerabilidad es conocida también por otros nombres como XSRF,
enlace hostil, ataque de un click, y ataque automático.

6. Descripción Grafica:
URL
MALICIOSA
Petición
Enviada
Respuesta
del Servidor
Beneficio para el
Atacante.

7. Where the problem is?
 En no Implementar mecanismos de protección, para saber si es el Usuario
Validado sea quien realmente esta haciendo la petición de manera
autóctona y no de manera involuntaria y arbitraria.
 GET
http://midominio.com/contrasena?nombre=midireccion@correo.com&contr
asenya=nuevacontraseña
 POST

8. Explotación – Métodos.
 Con Un Simple Enlace, o Imagen en sitio web o email, scripts.
 Ingeniería Social
 Ataques combinados ( XSS + CSRF + INGENERIA SOCIAL )
 El Atacante obtiene del usuario:
 la falsificación de petición del usuario.
 Escalacion de privilegios
 Beneficio para el atacante.

9. Explotación- T00lz.
 Herramientas.
CSRF-TESTER
Se ofrece a los desarrolladores la capacidad de poner a prueba su
solicitudes En plataformas WebsApp para encontrar fallos CSRF.
LIVE HTTP HEADER – TAMPER DATA
complemento para el navegador Firefox que se utiliza para ver la
información de los encabezados de sitios web.

10. CSRF TESTERS
Tool’z

11. DEMO – CSRF.

12. Otros Ataques de CSRF – Recientes.
 Syrian Electronic Army – Ataque Revista Forbes.
 TP-Link TD-8840t - CSRF Vulnerability
 Routers D-Link DIR-600L
 D-Link DSL-2750B ADSL Router
 Vulnerabilidad CSRF en Instagram
 Cross-Site Request Forgery en Bugzilla

13. CSRF en Frameworks
CSRF En Ruby on Rails
CSRF En Django

14. CSRF En Ruby on Rails
 Implementación de
Código de Token , Pero Sin
Comprobación de la
Misma.

15. CSRF En Ruby on Rails – Twitter

16. DEMO – CSRF En Ruby On Rails

17. Recompensa?

18. Otros Sitios:
 https://preyproject.com/ ( Reconocido Aplicativo antirrobo y
geolocalización de dispositivos )
 Dropbox.com
 Readmill.com

19. CSRF En Django
Implementación de Token ,pero
comprobación por medio de
cabeceras.

20. Demo?
+
Targets:

21. Powerby HTML5
 HTML5 reúne muchos componentes, entre ellos
XMLHttpRequest (XHR), Cross-origin resource sharing
(CORS), WebSQL y localStorage.
 “Los ataques con HTML5 son sigilosos, y en silencio”
 Same-origin policy *.
 Esto da campo permitiendo CSRF En (JSON) Ajax.

22. Hay Posibilidad! De Bypass?

23. CSRF Bypass! 
Bypass!

24. Bypass CSRF.
CSRF protected settings page

25. Bypass CSRF.
DOM XSS in settings page

26. Bypass CSRF
Reading the anti-CSRF token

27. Bypass! Successful
Proof of Concept

28. Cómo aprender sobre CSRF
Download Webgoat from
www.OWASP.org
WebGoat es una aplicación web
deliberadamente insegura, mantenida
por OWASP diseñado para enseñar
lecciones de seguridad de aplicaciones
web.

29. Como Protegernos Y Evitar?

30. Como Protegernos Y Evitar?
 http://mircozeiss.com/using-csrf-with-express-and-angular/

31. Dudas y Pregunta?

32. Gracias!