Capítulo 23. Defenderse de los ataques CSRF

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

En la Parte II, construimos ataques de Falsificación de Peticiones en Sitios Cruzados (CSRF) que se aprovechaban de la sesión autenticada de un usuario para hacer peticiones en su nombre. Construimos ataques CSRF con enlaces <a></a>, a través de etiquetas <img></img>, e incluso a través de HTTP POST utilizando formularios web. Vimos lo eficaces y peligrosos que son los ataques de tipo CSRF contra una aplicación, porque funcionan a un nivel de privilegios elevado y a menudo son indetectables por el usuario autenticado.

En este capítulo, aprenderemos a defender nuestra base de código contra tales ataques, y a mitigar la probabilidad de que nuestros usuarios se vean expuestos a cualquier tipo de ataque dirigido a su sesión autenticada.

Verificación de cabecera

¿Recuerdas los ataques CSRF que construimos utilizando enlaces <a></a>? En ese debate, los enlaces se distribuyeron por correo electrónico o a través de otro sitio web totalmente independiente del objetivo.

Dado que el origen de muchas peticiones CSRF es independiente de tu aplicación web, podemos mitigar el riesgo de ataques CSRF comprobando el origen de la petición. En el mundo de HTTP, hay dos cabeceras que nos interesan a la hora de comprobar el origen de una solicitud: referer y origin. Estas cabeceras son importantes porque no pueden modificarse programáticamente ...

Get Seguridad de las aplicaciones web now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.