7
He leído este artículo: http://jeremiahgrossman.blogspot.com/2007/01/gmail-xsrf-json-call-back-hackery.html¿El ataque JSON CSRF/Theft sigue siendo posible?
Y traté de usar la técnica, pero parece fallar en (al menos) la mayoría de los navegadores que probé. Básicamente, devuelve JSON en su sitio y otra persona hace un <script src="domain.com/response.php?json"></script> y luego configura sus propios constructores objeto/matriz para robar los datos.
¿Esto todavía es viable con los navegadores modernos? ¿Debo usar tokens para evitar esto?
¿Cómo exactamente vas a utilizar 'curl' o un programa de Python para hacer un ataque CSRF? ¿De dónde sacaste la cookie de la sesión? – Pointy
@Pointy: http://www.cgisecurity.com/csrf-faq.html. "Un atacante podría incrustar scripts en un documento de Word, Flash File, Movie, RSS o Atom web feed, u otro formato de documento que permita scripting" –
Bueno, mi comprensión de CSRF es que realmente depende de que un atacante aproveche una cookie de sesión activa en el navegador. El sitio atacante utiliza el hecho de que las solicitudes HTTP desde * cualquier * ventana a algún sitio seguro se realizarán * con * la cookie de sesión activa si hay una ventana abierta. De lo contrario, es solo un ataque simple en una URL abierta. En otras palabras, las URL que funcionan sin una cookie de sesión activa solo necesitan protección simple y sin ningún aspecto "cruzado" del problema. – Pointy