Español | English
rss facebook linkedin Twitter

Ataques CSRF: -Yo no he sido-

Investigadores forenses que no estén familiarizados con este término pueden ser testigos de ver como su acusado afirma "Yo no me descargué ese fichero, he sido víctima de un ataque CSRF".

Actualmente no sólo basta con ver la cache del navegador, el historial de navegación de un cliente o mostrar los logs de un proxy para afirmar que se descargo tal fichero/película o visitó la página web X.

"A CSRF attack forces a logged-on victim's browser to send a pre-authenticated request to a vulnerable web application, which then forces the victim's browser to perform a hostile action to the benefit of the attacker. CSRF can be as powerful as the web application that it attacks."
Owasp Top Ten 2007 -CSRF-


Los acusados de descargarse material Ilegal en Internet pueden argumentar ser víctimas de este tipo de ataque, lo que para un investigador forense será difícil demostrar, ya que este tipo de ataque lo realiza el mismo usuario (víctima) sin ser consciente de ello. Queda mucho trabajo por hacer en el campo de la seguridad web mientras salgan a la luz ataques y vulnerabilidades web descubiertas en el año 2001.

Emilio Casbas
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login