Capítulo 11. Falsificación de Peticiones en Sitios Cruzados

A veces, en sabemos que existe un punto final de la API que nos permitiría realizar una operación que deseamos llevar a cabo, pero no tenemos acceso a ese punto final porque requiere acceso privilegiado (por ejemplo, una cuenta de administrador). En este capítulo, construiremos exploits de Falsificación de Peticiones en Sitios Cruzados (CSRF) que harán que una cuenta de administrador o privilegiada realice una operación en nuestro nombre, en lugar de utilizar un fragmento de código JavaScript.

Los ataques CSRF se aprovechan del funcionamiento de los navegadores y de la relación de confianza entre un sitio web y el navegador. Al encontrar llamadas a la API que se basan en esta relación para garantizar la seguridad -pero que ceden demasiada confianza al navegador-, podemos crear enlaces y formularios que, con un poco de esfuerzo, pueden hacer que un usuario realice solicitudes en su propio nombre, sin que el usuario que genera la solicitud lo sepa.

A menudo, los ataques CSRF pasan desapercibidos para el usuario que está siendo atacado porque las peticiones en el navegador se producen entre bastidores. Esto significa que este tipo de ataque puede utilizarse para aprovecharse de un usuario privilegiado y realizar operaciones contra un servidor sin que el usuario lo sepa nunca. Es uno de los ataques más sigilosos ...