sábado 28 de noviembre de 2009

PenTest: Cross Site Request Forgery

Este Bug es muy especial ya que con este podemos robar dinero de una manera muy fácil si el sistema de seguridad del banco no es bueno...


Primero quiero explicar un poco como funciona el ataque...

Nosotros descubrimos que las cookies de un banco duran mas del tiempo que deberían durar entonces si nosotros entramos a:

http://feisbuk.com --> nos logueamos

nos manda a:

http://feisbuk.com/home

ahora si nosotros entramos mañana y las cookies no se vencen como deberían y hay problemas con las sessiones entonces nos debería de mandar a

http://feisbuk.com/home --> sin haberse logueado el mismo dia

Ahora digamos que queremos agregar un amigo a feisbuk, nuestro amigo será Jorge Romero.

POST http://feisbuk.com/friends.php HTTP/1.1
...
...
...
...
======================
name=jorge&lname=romero


Como vemos tenemos la parte importante, lo que nos interesa es: name=jorge&lname=romero una ves que tenemos eso el resto ya es más fácil.

si nosotros quisieramos información sobre un tal david andrade el cual no nos acepta como amigo y sabemos que le gustan los carros podriamos hacer lo siguiente...

desde:

un mail cualquiera (podemos usar un mailer) mandarle un correo falso incluyendo lo siguien en el mail:


<a href="http://feisbuk.com/friends.php?name=seguridad&lname=blanca">Click para ver los últimos carros </a>


Si el diera click nosotros podriamos obtener su admistad automatica en feisbuk...

lógico esto no debería ocurrir por que los bancos deberían poner siertos tokens que duren minutos para agregar amigos y siempre ver referer y una cantidad de cosas para proteger al usuario.


Ahora si viene la parte que a muchos le ha de gustar y a otros le divertirá aprender esto...


Explotandolo en un banco:

Nuestro usuario del banco Armando Bronca le ah hecho una tranferencia de 10 Dolares a Perico Palotes y cuando dio click lo que se hizo fue esto...

http://bancodelanacionytodoslospaises.com/account/transferir.php?acct=pericopalotes&amount;=10&moneda;=dolar

ahora vamos a hacer lo mismo que hicimos en FeisBuk...

le mandamos un mail a nuestra victima que le gustan las motos diciendo algo como:


<a href="http://bancodelanacionytodoslospaises.com/account/transferir.php?acct=nosotros&amount;=100000000&moneda;=euro">Click aquí para ver las últimas motos </a>


Si nuestra victima da click nos habrá transferido mucho dinero...

ahora comprenden la gravedad sin mencionar los robos de información que ocurren por este bug...



Como podemos evitarlos siendo admin?

- Agregar tokens a casi todo
- siempre ver referer
- asegurar de que se caduquen las cookies y/o Sessiones


Con los tips de arriba creo que ya no sería tan fácil explotar algo como esto...

y como usuario?

- asegurate que las urls sean reales siempre
- no confies en la publicidad enviada por correo de sitios que no son serios


Bueno espero que con esto haya podido explicar que es el CSRF...


Suscribanse al Blog Plz...


Saludos
Dr.White

6 comentarios:

Lozano dijo...

Parce excelente el texto, y es impresionante ver cuan graves pueden ser ciertas cosas que aveces ni nos percatamos de ellas, ahora creo que muchos despues de ver esto preguntaran donde hay mailers anonimos XDD.
Esta muy bueno su blog parce y espero que siga sacando texticos buenos
SaludOS

Lozano :)

Shadi dijo...

este blog es un proqueria no vale la pena ni vistarlo que asco de blog la info es mas repedita esta info la encuentras en cualquier lugar y con mejores cosas

visiten:ethical-security.co.cc/Forum/

shadinessdark dijo...

Bueno men primero que nada no tengo tiempo para andar insultando tus blogs ando en cosas mas importantes alguien esta usando mi nick no me llamo shadi me llamo shadinessdark m oemail shadinessdark@hotmail.es he salido un poco de la red casi no estoy en ella el que haiga puesto ese comentario es un estupido invidioso y me da = si piensas que fui yo llegue porque jeferx me comento sobre esto saludos. y si mi web es www.ethical-security.co.cc no busco problemas con nadie

Dr.White dijo...
El autor ha eliminado esta entrada.
Anónimo dijo...

Buen blog, te falta solamente aprender a escribir bien el castellano...
Un saludo.

Anónimo dijo...

Al parecer hay algun desocupado que usa nicks parecidos a los de otros usuarios , y los relaciona con las web de los usuarios oficiales. A Dr.Whithe ya le paso con un comentario dando insultos "ellado delmal" y chema no distinguio la diferencia de los nics , y ahora aparece un tal shadi queriendo suplantar e insultando.