Neo anime
¿Quieres reaccionar a este mensaje? Regístrate en el foro con unos pocos clics o inicia sesión para continuar.

Neo anime

Neo anime es una página para hablar sobre anime y manga y tambien para la descarga de anime, manga, videojuegos y todo lo que tenga que ver con ello.
 
ÍndicePortalÚltimas imágenesRegistrarseConectarse

Neo anime :: Descargas / Anime y manga :: Dark Hacking
 

 Ataques CSRF mediante hotlinking

Ir abajo 
AutorMensaje
Peter_hitsu
Hokage
Hokage
Peter_hitsu


Mensajes : 1735
Fecha de inscripción : 16/05/2008
Edad : 34
Localización : En la Sociedad de Almas

Hoja de personaje
Vitalidad:
Ataques CSRF mediante hotlinking Barraizkierdakb03000/3000Ataques CSRF mediante hotlinking Emptybarbleueql3  (3000/3000)
Puntos mágicos:
Ataques CSRF mediante hotlinking Left_bar_bleue5000/5000Ataques CSRF mediante hotlinking Empty_bar_bleue  (5000/5000)
Guiles:
Ataques CSRF mediante hotlinking Barraizkierdakv420000/20000Ataques CSRF mediante hotlinking Emptybarbleuenm4  (20000/20000)
Ataques CSRF mediante hotlinking Empty
MensajeTema: Ataques CSRF mediante hotlinking   Ataques CSRF mediante hotlinking Icon_minitimeSáb Jun 28, 2008 9:06 pm
Un CSRF o Cross-site request forgery — aparte de un término que usa Alex de Buayacorp junto a XSS cinco veces por cada párrafo — es un ataque cruzado entre sitios que intenta aprovechar vulnerabilidades en un sitio para (normalmente) atrapar la cookie de un usuario del cual se sabe que está autentificado en otro sitio.

En el ejemplo de la Wikipedia, “Bob” mira un foro y en el mismo “Alice” (el atacante) publica una imagen con un enlace apuntando al banco de Bob y preparado para el ataque a realizar, si Bob mantiene la cookie/sesión activa al intentar acceder mediante su navegador a la imagen rellenara y enviara con su sesión/cookie lo que el atacante quiera al banco (ej: transferencia de dinero a otra cuenta).

El ataque se basa normalmente en algún tipo de XSS, el poder “inyectar” código (habitualmente javascript) y el saber que el usuario está identificado con el servicio.

En el ejemplo de Logadmin se usa el hotlinking como vector para “inyectar” código mediante URLs:

“A” roba (enlaza directamente) una imagen de “B” para usarla en su sitio pero consumiendo el ancho de banda de “B” — hasta ahí la clásica definición de hotlinking — pero “B” en lugar de cagarse en sus muertos o restringir el acceso decide redirigir la imagen al script de logout de “A” lo cual con htaccess y mod_rewrite es fácil.

Con ello cada vez que el sujeto “A” acceda a la página cerrará la sesión y no podra entrar en su CMS para quitar la imagen “hotlinkeada”. Una táctica muy cabrona, tentado estoy de ponerla en uso.

Una solución para esos casos (una vez “atacado” con esa “broma de mal gusto” sería redirigir temporalmente el script de logout al de acceder (login) el cual normalmente te lleva al panel de administración.

Aunque lo gracioso (sí: me lo estoy imaginando y lo estoy disfrutando xD) es que a la que entras en la entrada para modificarla y quitar ese hotlinking es que, al menos en WordPress, aparece abajo la entrada previsualizada… por lo que el script te vuelve a echar del CMS… maquiavélico. Pero todo tiene solución (lastima): Kill Preview.

Además, lo anterior es una broma (literalmente) comparado con lo que se puede llegar a hacer si la página que es vulnerable a CSRF lo es también a XSS.

¿Lección del día? Usar hotlinking te expone a ataques CSRF y los BOFH de hoy en día tienen un sentido del humor muy ácido, House se queda en una broma en comparación
Volver arriba Ir abajo
https://neo-anime.forosactivos.com/
 
Ataques CSRF mediante hotlinking
Volver arriba 
Página 1 de 1.
 Temas similares
-
» SoftPerfect Network Scanner..Ingreso mediante netbios!!

Permisos de este foro:No puedes responder a temas en este foro.
Neo anime :: Descargas / Anime y manga :: Dark Hacking-
Cambiar a: