Capítulo 11. Falsificación de petición en sitios cruzados (CSRF)
Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com
A veces, en sabemos que existe un punto final de la API que nos permitiría realizar una operación que deseamos llevar a cabo, pero no tenemos acceso a ese punto final porque requiere acceso privilegiado (por ejemplo, una cuenta de administrador).
En este capítulo, construiremos exploits de Falsificación de Peticiones en Sitios Cruzados (CSRF) que hacen que un administrador o una cuenta privilegiada realice una operación en nuestro nombre, en lugar de utilizar un fragmento de código JavaScript.
Los ataques CSRF se aprovechan del funcionamiento de los navegadores y de la relación de confianza entre un sitio web y el navegador. Al encontrar llamadas a la API que dependen de esta relación para garantizar la seguridad -pero que dan demasiada confianza al navegador-, podemos crear enlaces y formularios que, con un poco de esfuerzo, pueden hacer que un usuario realice solicitudes en su propio nombre, sin que el usuario que genera la solicitud lo sepa.
A menudo, los ataques CSRF pasan desapercibidos para el usuario que está siendo atacado, ya que las peticiones en el navegador se producen entre bastidores. Esto significa que este tipo de ataque puede utilizarse para aprovecharse de un usuario privilegiado y realizar operaciones contra un servidor sin que el usuario lo sepa nunca. Es uno de los ataques más ...
Get Seguridad de las aplicaciones web now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.