¡¡Hola tios!! Hoy vamos a hablar de uno de la vulnerabilidad de tendencia en sitios cruzados ataque de falsificación de petición.
A continuación he dividido este tema en el número de piezas para obtener un mejor perceptiva.
A continuación he dividido este tema en el número de piezas para obtener un mejor perceptiva.
AGENDA:-
- Introducción
- Consecuencias
- Explotación
- Mitigación
1. INTRODUCCIÓN:
Lo que es transversal lugar del ataque de falsificación de petición?
Petición en sitios cruzados falsificación también se conoce como XSRF, "Surf Mar", y la sección de manejo.
Petición en sitios cruzados falsificación es un ataque que viene en la parte superior 10 de OWASP (es decir, Abrir proyecto de seguridad de aplicaciones Web) la vulnerabilidad y es un tipo posible vulnerabilidad explotada común.
Aproximadamente el 24% de la aplicación web es vulnerable a este ataque.
Petición en sitios cruzados falsificación también se conoce como XSRF, "Surf Mar", y la sección de manejo.
Petición en sitios cruzados falsificación es un ataque que viene en la parte superior 10 de OWASP (es decir, Abrir proyecto de seguridad de aplicaciones Web) la vulnerabilidad y es un tipo posible vulnerabilidad explotada común.
Aproximadamente el 24% de la aplicación web es vulnerable a este ataque.
Es un ataque que obliga al usuario final para ejecutar la acción no deseado en una aplicación web en la que se autentican actualmente. Petición en sitios cruzados ataque de falsificación no lo hace de robo de los datos, ya que no tiene manera de ver la respuesta de la solicitud de forjado.
Petición en sitios cruzados ataque de falsificación utiliza la confianza del usuario final en la aplicación y obliga al usuario a realizar determinadas acciones, sin saberlo, de la elección atacante, y poner en peligro muchos detalles confidenciales.
Antes de seguir adelante con la explotación, hay que conocer las consecuencias de este ataque.
2. CONSECUENCIAS
Petición en sitios cruzados falsificación es un ataque que se realiza en base a la acción del usuario en la aplicación web. Así que dependiendo de la acción que se toma por el usuario lleva a consecuencias graves, como un puesto de medios de comunicación social embarazosa, la pérdida de dinero de su cuenta en línea y muchos más.
También es posible almacenar CSRF (es decir, transversal solicitud lugar del ataque falsificación) en el sitio vulnerable sí mismo.
Debe decir: cómo protegerse de los hackers?También es posible almacenar CSRF (es decir, transversal solicitud lugar del ataque falsificación) en el sitio vulnerable sí mismo.
3. LA EXPLOTACIÓN
• Vamos ahora tienen mirada en la técnica de explotación de la fuerza transversal lugar del ataque de falsificación de petición base.
Este ataque comprometan los siguientes pasos:
I. El atacante necesita crear explotar URL o la escritura.
Este ataque comprometan los siguientes pasos:
I. El atacante necesita crear explotar URL o la escritura.
II. Engañar a la víctima para ejecutar esa URL malicioso.
Con el fin de forjar una solicitud HTTP, un atacante típicamente perfiles de sitio de destino primero que debe ser similar al sitio legítimo tanto como sea posible. Esto se puede hacer ya sea mediante la revisión de la fuente HTML o mediante la inspección del tráfico de la suite eructo o cualquier otra herramienta de proxy. Ejemplo: Supongamos Smit desee transferir cierta cantidad de Chase Bank, y la aplicación fue diseñada para utilizar una petición GET: GET http://bank.com/transfer.do?acct=chase&amount=100 HTTP / 1.1
María decide ahora para aprovechar esta vulnerabilidad de aplicaciones web usando John como su víctima. Maria primera construye la siguiente brecha de URL que transferirá $ 100.000 de John cuenta a su cuenta. Ella toma la URL comando original y sustituye el nombre de beneficiario consigo misma, elevando el monto de la transferencia de manera significativa a la vez:
http://bank.com/transfer.do?acct=Payal&amount=100000
Después de eso, se va a crear la URL exploit y lo envía a una víctima.
Explotar URL
<a href="http://bank.com/transfer.do?acct=Payal&amount=100000"> ver mis imágenes! </a>
<a href="http://bank.com/transfer.do?acct=Payal&amount=100000"> ver mis imágenes! </a>
A través de la ingeniería social, trucos ella la víctima y una vez que la víctima hace clic en la URL explotar. El navegador enviar la solicitud al Bank.com sin ninguna indicación visual de que la transferencia ha tenido lugar.
4. MITIGACIÓN:
• Hay una idea errónea, que el ataque se puede evitar mediante el uso del método del poste. Dado que el atacante no puede construir un enlace malicioso, un ataque CSRF no se puede tomar su lugar. Por desgracia, esta lógica es incorrecta.
Hay varios método en el cual atacante engaña a la víctima en la presentación de forjaron solicitud POST.
Hay varios método en el cual atacante engaña a la víctima en la presentación de forjaron solicitud POST.
Número de maneras por las cuales podemos defender nuestra aplicación de CSRF ataque se mencionan a continuación:
validación I. Cabecera:
- Trate de utilizar el encabezado de referencia en la aplicación.
- Trate de usar encabezado de su propia cabecera es decir, la costumbre, y siempre hay que usar JavaScript XMLHttp Solicitud entonces formularios HTML.
II. Se basa en la política del mismo origen del navegador.
III. Token secreto: Servidor compartió el token secreto entre origen y destino, incluyendo en el campo de formulario oculto.
Ultimas Noticias De Hacking: ¿Cuál Es El Cross Site Request Falsificación (Csrf) Ataque Vulnerabilidad? >>>>> Download Now
ResponderEliminar>>>>> Download Full
Ultimas Noticias De Hacking: ¿Cuál Es El Cross Site Request Falsificación (Csrf) Ataque Vulnerabilidad? >>>>> Download LINK
>>>>> Download Now
Ultimas Noticias De Hacking: ¿Cuál Es El Cross Site Request Falsificación (Csrf) Ataque Vulnerabilidad? >>>>> Download Full
>>>>> Download LINK