Tutorial de Falsificacion de Solicitud entre Sitios (CSRF)

-

Hola a todos amigos!! Esta semana cubriremos una vulnerilidad llamada Falsificacion de Solicitud entre Sitios (Cross-Site Request Forgery - CSRF).

La Falsificacion de Solicitud entre Sitios (o Cross-Site Request Forgery), es una vulnerabiilidad que afecta a los clientes de un servidor web. Esta vulnerabilidad sucede debido a que aplicacion web erra en verificar la validadez de una solicitud HTTP de un cliente.

Analizemos la siguiente forma en HTML: 

  <form method="POST" action="transferencias.php">
    <input type="text" name="cuenta" />
    <input type="text" name="cantidad" />
    <input type="submit" value="Transferir" />
  </form>

En el codigo anterior tenemos un claro ejemplo de una forma la cual acepta los datos de un numero de cuenta y cierta cantidad. Una vez que hacemos click en el boton de Transferir entonces se envia una solicitud HTTP con el metodo post hacia transferencias.php para poder ser procesada. Nuestra solicitud HTTP se veria similar a la siguiente: 

  POST /transferencias.php HTTP/1.1
  Host: 192.168.56.102
  User-Agent: Mozilla Firefox
  Cookie: PHPSESSID=298zf09hf012fh2
  
  cuenta=01010101&cantidad=1500

Donde efectivamente la primer linea es el metodo POST (recordemos que existen varios metodos para el protocolo HTTP como GET, HEAD, OPTIONS, etc), la segunda linea define al servidor al que estamos enviando esta solicitud, la tercera linea define el tipo de navegador web que estamos utilizando para enviar esta solicitud, siguiente tenemos la linea Cookie, este encabezado lo utilizamos para enviar nuestra identificacion de sesion para PHP (aqui asumimos que anteriormente ya ingresamos un usuario y contrasena correcta, y la aplicacion nos entrego dicho numero identificacion de sesion denotado por PHPSESSID). seguida de una linea en blanco y nuestros valores para variables cuenta y cantidad.

Mientras que el codigo PHP para procesar la forma es el siguiente: 

  
  if (session_id() === "") {
    echo "<p>No esta autorizado para ver esta pagina<br/>";
    echo "Favor de hacer Login<p>";
    exit();
  }
  
  $baseDeDatos = "Registros";
  $usuario = "applicacion_web";
  $contrasena = "Contr@sena_Sup3r_Segur4_2023";
  $servidor = "MXSQLDEV01"
  
  $conexion = new mysqli($servidor, $usuario, $contrasena, $baseDeDatos);
  
  if (isset($_POST["cuenta"]) && isset($_POST["cantidad"])) {
     $sql = $conexion->("INSERT INTO TRANSFERENCIAS (cuenta, cantidad) VALUES (?, ?)"); 
     $sql->bind_param("ss", $_POST["cuenta"], $_POST["cantidad"]);
  
     $sql->execute();
  }

En el codigo anterior podemos observar que primero verificamos que el usuario posee una identificacion de session, de otro modo tiene que regresar a autenticarse (es decir, proveer un usuario y contrasena validos), despues que verificamos la sesion, entonces creamos un objecto tipo mysqli para poder conectarnos a la base de datos en el backend denotado por la variable conexion, seguido verificamos la existencia de las variables cuenta y cantidad dentro de arreglo POST. Despues usamos las dos variables para insertar ambas dentro de la tabla TRANSFERENCIAS.

Esta aplicacion es vulnerable a ataques de Falsificacion de Solicitud entre Sitios (CSRF). Dado a que la aplicacion nos esta verificando la autenticidad de la solicitud. Es decir, Aunque la aplicacion efectivamente verifica la autenticidad del usuario, no verifica la autenticidad de la solicitud HTTP.

Por ejemplo, si un usuario utilizara esta aplicacion para ingresar transferencias, y sin cerrar su sesion dentro del navegador visitara un sitio con el siguiente codigo: 

  <img src="imagenes/tottix.png" />
  
  <form action="http://192.168.56.102/csrf/transferencias.php" method="POST" >
    <input type="hidden" name="cuenta" value="9999999991" />
    <input type="hidden" name="cantidad" value="1000" />
  </form>
  
  <script>
    document.forms[0].submit();
  </script>

Entonces, dado a que la identificacion de sesion de PHP aun esta activa, el usuario inadvertidamente ingresara una nueva transferencia a la cuenta 9999999991 por una cantidad de 1000 sin su consentimiento.

Conclusion

Para mitigar esta vulnerabilidad es necesario implementar un codigo (o "token") unico para cada forma, asi podriamos evitar la Falsificacion de Solicitude. Por favor siguenos en YouTube (https://www.youtube.com/@tottixchannel9306).

Comentarios

Publicar un comentario

Entradas más populares de este blog

Tutorial para Instalar Visual Studio 2019 (Community Edition) en Windows.

-
Imagen
Visual Studio es el IDE (Interface Development Enviroment, por sus siglas en ingles ó Interfaz de Desarrollo Integrado) más común de Microsoft, con él podrás crear programas para arquitecturas .NET, ASP (Active Server Pages), MSVC++, etc; generalmente destinadas para Windows. En este tutorial instalaremos componentes para crear programas en C/C++. Lo primero que necesitamos hacer es descargar el IDE del sitio de Microsoft https://visualstudio.microsoft.com/, asegurandos seleccionar Visual Studio, y no Visual Studio Code. Una vez descarcagado el archivo, lo abrimos y dejaremos que el Instalador descargue y termine su configuración. El programa instalador entonces abrirá una ventana con los componentes a instalar. Aquí deberas seleccionar los componentes que desees instalar para continuar tu desarollo. Una vez seleccionados tus componentes, dá click en el botón de instalar (ó modificar). Una vez instalado todo, busca Visual Studio en tu b...
Leer más

Tutorial de Burpsuite

-
Imagen
Hola querido amigo(a)! espero que te encuentres muy bien. El dia de hoy decidi hacer este tutorial Burpsuite. Burpsuite es una herramienta muy versatil y eficaz para realizar pruebas de seguridad (Pentest) con el fin de encontrar vulnerabilidads en aplicaciones Web. Burpsuite, al momento de escribir esta nota, le pertenece a la compania PortSwigger, y es probablemente la herramienta mas popular e indispensable para probar la seguridad de un aplicacion web. PortSwigger ofrece diferentes ediciones de Burpsuite: Enterprise, Professional and Community. La edicion community es la version gratis de Burpsuite, pero es la que tiene menos funcionalidades integradas. En este tutorial nos vamos a enfocar en la version Community con el navegador Firefox en Kali Linux. Sin embargo, si estas pensando en dedicarte a Ciberseguridad y/o Pentesting profesionalmente, te recomiendo invertir en la licencia de Burpsuite Professional. Afortunadamente Burpsuite ...
Leer más

Tutorial de Inyeccion de SQL

-
Imagen
Hola a todos! El dia de hoy me gustaria compartir con ustedes una pequeña nota acerca de como funciona una inyeccion de SQL. Generalmente este tipo de vulnerabilidad afecta a aplicaciones web, sin embargo no esta limitada a solo web, sino a cualquier aplicacion que tenga transacciones con una base de datos. Tambien es una de las vulnerabilidades mas comunes encontradas dentro de sistemas, y esta dentro del Top 10 de OWASP . Es recomendable tener fundamentos en programacion web (php, asp, jsp, etc) y bases de datos/SQL para poder entender esta entrada. Comencemos con este ejemplo, La siguiente imagen denota una aplicacion web que esta conectada a una base de datos para obtener una consistencia en sus datos, como muchas aplicacion web existen el dia de hoy. En este ejemplo, el servidor web MXWEBDEV01 tiene una conexion con el servidor de base de datos MXSQLDEV01. vamos tambien asumir que esta conexion esta hecha en PHP y el sistema gestor de bases de datos es MariaD...
Leer más