Comments on: Vulnerabilidades CSRF en aplicaciones web http://www.eslomas.com/2007/03/vulnerabilidades-csrf-en-aplicaciones-web/ Informática, internet y algo del mundo real Tue, 07 Feb 2012 14:56:00 +0000 hourly 1 http://wordpress.org/?v=3.3.1 By: Ataque: ¿Qué es Cross Site Request Forgery (CSRF)? | Shadow Security http://www.eslomas.com/2007/03/vulnerabilidades-csrf-en-aplicaciones-web/comment-page-1/#comment-71879 Ataque: ¿Qué es Cross Site Request Forgery (CSRF)? | Shadow Security Thu, 29 Jan 2009 14:30:22 +0000 http://www.eslomas.com/index.php/archives/2007/03/12/vulnerabilidades-csrf-en-aplicaciones-web/#comment-71879 [...] Vulnerabilidades CSRF en aplicaciones web [...] [...] Vulnerabilidades CSRF en aplicaciones web [...]

]]> By: Sr.duda http://www.eslomas.com/2007/03/vulnerabilidades-csrf-en-aplicaciones-web/comment-page-1/#comment-54849 Sr.duda Wed, 27 Aug 2008 04:39:36 +0000 http://www.eslomas.com/index.php/archives/2007/03/12/vulnerabilidades-csrf-en-aplicaciones-web/#comment-54849 Pues me has dejado con la duda. Creía que $_POST era una forma segura. Me puedes escribir algún código javascript u otro para comprobar en mi web(local) si es vulnerable ? Gracias!. Pues me has dejado con la duda. Creía que $_POST era una forma segura.

Me puedes escribir algún código javascript u otro para comprobar en mi web(local) si es vulnerable ?

Gracias!.

]]> By: El Rincón de Boriel » Blog Archive » Captcha Unsafe? http://www.eslomas.com/2007/03/vulnerabilidades-csrf-en-aplicaciones-web/comment-page-1/#comment-36988 El Rincón de Boriel » Blog Archive » Captcha Unsafe? Mon, 04 Feb 2008 20:41:07 +0000 http://www.eslomas.com/index.php/archives/2007/03/12/vulnerabilidades-csrf-en-aplicaciones-web/#comment-36988 [...] [...] [...] [...]

]]> By: Patxi http://www.eslomas.com/2007/03/vulnerabilidades-csrf-en-aplicaciones-web/comment-page-1/#comment-35783 Patxi Wed, 23 Jan 2008 07:25:23 +0000 http://www.eslomas.com/index.php/archives/2007/03/12/vulnerabilidades-csrf-en-aplicaciones-web/#comment-35783 yo_yo, en efecto con XMLHttpRequest no es posible salir del dominio de la página, pero imagina que el código se ha introducido mediante XSS en ella, en ese caso te lo descargarías y ejecutarías dentro del mismo dominio. yo_yo, en efecto con XMLHttpRequest no es posible salir del dominio de la página, pero imagina que el código se ha introducido mediante XSS en ella, en ese caso te lo descargarías y ejecutarías dentro del mismo dominio.

]]> By: yo_yo http://www.eslomas.com/2007/03/vulnerabilidades-csrf-en-aplicaciones-web/comment-page-1/#comment-35730 yo_yo Tue, 22 Jan 2008 17:51:51 +0000 http://www.eslomas.com/index.php/archives/2007/03/12/vulnerabilidades-csrf-en-aplicaciones-web/#comment-35730 Pero si se trabaja con el objeto xmlhttprequest no es posible salir del contexto de la página en cuestión, osea que no se puede enviar información fuera del sitio con el que se ejecuta el código JavaScript. Pero si se trabaja con el objeto xmlhttprequest no es posible salir del contexto de la página en cuestión, osea que no se puede enviar información fuera del sitio con el que se ejecuta el código JavaScript.

]]> By: guille http://www.eslomas.com/2007/03/vulnerabilidades-csrf-en-aplicaciones-web/comment-page-1/#comment-32274 guille Wed, 12 Dec 2007 23:18:48 +0000 http://www.eslomas.com/index.php/archives/2007/03/12/vulnerabilidades-csrf-en-aplicaciones-web/#comment-32274 Muy bueno el articulo. Lo he probado y descubri q falta una linea en el ejemplo de XMLHttpRequest, antes de hacer xmlhttp.send(post_data); debe ir la siguiente la linea: xmlhttp.setRequestHeader('Content-Type','application/x-www-form-urlencoded'); ahora si, funciona correctamente. Muy bueno el articulo. Lo he probado y descubri q falta una linea en el ejemplo de XMLHttpRequest, antes de hacer xmlhttp.send(post_data);
debe ir la siguiente la linea:
xmlhttp.setRequestHeader(‘Content-Type’,'application/x-www-form-urlencoded’);

ahora si, funciona correctamente.

]]> By: veinti1 » Blog Archive » Fallos XSRF y XSS en Wordpress http://www.eslomas.com/2007/03/vulnerabilidades-csrf-en-aplicaciones-web/comment-page-1/#comment-16583 veinti1 » Blog Archive » Fallos XSRF y XSS en Wordpress Thu, 15 Mar 2007 08:19:03 +0000 http://www.eslomas.com/index.php/archives/2007/03/12/vulnerabilidades-csrf-en-aplicaciones-web/#comment-16583 [...] Enlaces de interes: Vulnerabilidades CSRF en aplicaciones web. (Explica bien que es XSS yXSRF, por si pilla a alguién despistado) [...] [...] Enlaces de interes: Vulnerabilidades CSRF en aplicaciones web. (Explica bien que es XSS yXSRF, por si pilla a alguién despistado) [...]

]]> By: Vulnerabilidades CSRF en aplicaciones web http://www.eslomas.com/2007/03/vulnerabilidades-csrf-en-aplicaciones-web/comment-page-1/#comment-16541 Vulnerabilidades CSRF en aplicaciones web Mon, 12 Mar 2007 17:52:57 +0000 http://www.eslomas.com/index.php/archives/2007/03/12/vulnerabilidades-csrf-en-aplicaciones-web/#comment-16541 [...] Patxi, ha publicado un extenso artículo sobre este tema: ¿qué es?, ¿cómo funciona?, medidas de protección. Si entre la audiencia existen desarrolladores de aplicaciones Web que no conocen sobre CSRF, recomiendo que le den una lectura al mencionado artículo. [...] [...] Patxi, ha publicado un extenso artículo sobre este tema: ¿qué es?, ¿cómo funciona?, medidas de protección. Si entre la audiencia existen desarrolladores de aplicaciones Web que no conocen sobre CSRF, recomiendo que le den una lectura al mencionado artículo. [...]

]]> By: alex http://www.eslomas.com/2007/03/vulnerabilidades-csrf-en-aplicaciones-web/comment-page-1/#comment-16540 alex Mon, 12 Mar 2007 17:38:03 +0000 http://www.eslomas.com/index.php/archives/2007/03/12/vulnerabilidades-csrf-en-aplicaciones-web/#comment-16540 IMHO, el uso de XMLHttpRequest no sirve mucho para realizar ataques CSRF, debido a las restricciones que aplican los navegadores a este tipo de objetos. IMHO, el uso de XMLHttpRequest no sirve mucho para realizar ataques CSRF, debido a las restricciones que aplican los navegadores a este tipo de objetos.

]]>