Comments on: Vulnerabilidades CSRF en aplicaciones web

by: El Rincón de Boriel » Blog Archive » Captcha Unsafe?

Mon, 04 Feb 2008 20:41:07 +0000

[…] […]

by: Patxi

Wed, 23 Jan 2008 07:25:23 +0000

yo_yo, en efecto con XMLHttpRequest no es posible salir del dominio de la p�gina, pero imagina que el c�digo se ha introducido mediante XSS en ella, en ese caso te lo descargar�as y ejecutar�as dentro del mismo dominio.

by: yo_yo

Tue, 22 Jan 2008 17:51:51 +0000

Pero si se trabaja con el objeto xmlhttprequest no es posible salir del contexto de la p�gina en cuesti�n, osea que no se puede enviar informaci�n fuera del sitio con el que se ejecuta el c�digo JavaScript.

by: guille

Wed, 12 Dec 2007 23:18:48 +0000

Muy bueno el articulo. Lo he probado y descubri q falta una linea en el ejemplo de XMLHttpRequest, antes de hacer xmlhttp.send(post_data);
debe ir la siguiente la linea:
xmlhttp.setRequestHeader(’Content-Type’,'application/x-www-form-urlencoded’);

ahora si, funciona correctamente.

by: veinti1 » Blog Archive » Fallos XSRF y XSS en Wordpress

Thu, 15 Mar 2007 08:19:03 +0000

[…] Enlaces de interes: Vulnerabilidades CSRF en aplicaciones web. (Explica bien que es XSS yXSRF, por si pilla a alguién despistado) […]

by: Vulnerabilidades CSRF en aplicaciones web

Mon, 12 Mar 2007 17:52:57 +0000

[…] Patxi, ha publicado un extenso artículo sobre este tema: ¿qué es?, ¿cómo funciona?, medidas de protección. Si entre la audiencia existen desarrolladores de aplicaciones Web que no conocen sobre CSRF, recomiendo que le den una lectura al mencionado artículo. […]

by: alex

Mon, 12 Mar 2007 17:38:03 +0000

IMHO, el uso de XMLHttpRequest no sirve mucho para realizar ataques CSRF, debido a las restricciones que aplican los navegadores a este tipo de objetos.