Por:
Martin Serna
Julián Camilo Guerra
Jaime Tangarife
ADMINISTRACION DE REDES

Las vulnerabilidades relacionadas con la
falsificación de petición en sitios cruzados
permiten a un atacante la posibilidad de
enviar una petición a una aplicación Web
vulnerable ejecutando una acción a través de
la víctima
ADMINISTRACION DE REDES
La representación simbólica de esta acción puede visualizarse en la imagen siguiente:
ADMINISTRACION DE REDES
La representación simbólica de esta acción puede visualizarse en la imagen
siguiente:
ADMINISTRACION DE REDES
ADMINISTRACION DE REDES
ADMINISTRACION DE REDES

De esta forma, nuestro servidor de catálogo recibe
una petición para realizar una transferencia con un
usuario autenticado y ejecuta la acción transfiriendo a
la cuenta de puntos del usuario malicioso la cantidad
indicada de forma oculta al usuario.
ADMINISTRACION DE REDES



Uso de un token de sesión personal
Uso de un token de sesión personal por
acción
Uso de un token encriptado personal por
acción
ADMINISTRACION DE REDES

Formularios POST:

Formularios multipágina:

Comprobación del Referer:
ADMINISTRACION DE REDES

Responsabilizar al usuario:

Escaso impacto de los ataques:

Ni el firewall del servidor, ni la encriptación
SSL, ni el framework de programación que se
utilice defiende a la aplicación frente a estos
ataques. Es tarea del desarrollador hacer que
la aplicación sea lo menos vulnerable posible.
ADMINISTRACION DE REDES
Descargar

Cross Site Request Forgery, Falsificación de petición en sitios