[pyar] CSRF y fFlask

Luis Andraschnik luis.andraschnik en gmail.com
Vie Abr 13 11:15:32 -03 2018


Si en el navegador tengo desactivada la ejecución de javascript no sería
posible el ataque?

El 13 de abril de 2018, 10:51, Federico Apelhanz <elmaildejapel en gmail.com>
escribió:

> csrf es una forma de protejerte vos contra posibles ataques, sirve para
> asegurarte que el post
>  que te llega es de un formulario que efectivamente serviste desde tu app.
> Un ejemplo burdo es el siguiente, tenes un e-commerce sin csrf, tenes un
> cliente logeado, tranquilamente alquien puede pasarle un pagina con codigo
> js malicioso que haga un post contra tu servidor y le haga comprar 10000000
> cosas, tu app chequea que esta logeado y listo, lo da como valido porque no
> chequea más nada. Sobre si tenes que implementarlo vos para una lan, lo
> recomendable es que si, porque seguis siendo vulnerable.
>
> El 13 de abril de 2018, 10:36, Luis Andraschnik <
> luis.andraschnik en gmail.com> escribió:
>
>> Lo que no me queda claro es quien es el que implementa la protección de
>> los formularios,por ejemplo, si tengo abierto gmail en el navegador, esa
>> sería un posible objetivo de ataque, la protección la debe implementar
>> gmail? Si yo tengo una app en desarrollo, pueden usar mi app como medio
>> para atacar mi cuenta de google?, o la app mía es el blanco? y el atacante
>> dónde está , es una tercer página web?
>>
>> En definitiva yo tengo que implementar sí o sí protección CSRF en mi app
>> flask esté corriendo mi servidor en una LAN como en internet?
>>
>> Tengo una ensalada ...
>>
>> El 13 de abril de 2018, 10:21, Gustavo Campanelli <gedece en gmail.com>
>> escribió:
>>
>>>
>>> 2018-04-13 10:05 GMT-03:00 Luis Andraschnik <luis.andraschnik en gmail.com>
>>> :
>>>
>>>> Buen día grupo!
>>>>
>>>> Aún no entiendo bien cuales son los actores ni como funciona un ataque
>>>> CSRF, pero quería saber si yo estoy haciendo una app Flask en red local ,
>>>> tengo que habilitar protección CSRF en los formularios?
>>>> Gracias!
>>>> Luis
>>>>
>>>> _______________________________________________
>>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>>> Sitio web: http://www.python.org.ar/
>>>>
>>>> Para administrar la lista (o desuscribirse) entrar a
>>>> http://listas.python.org.ar/listinfo/pyar
>>>>
>>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>>>> Argentina - http://www.usla.org.ar
>>>
>>>
>>> Por lo que lei  y sinser un especialista, CSRF es un ataque que afecta
>>> al servidor al recibir comandos que el usuario no deseaba incluir en las
>>> acciones del usuario. De tal forma que cuando un usuario se autentica usa
>>> las acciones del usuario para cambiar ciertos estados. Por ejemplo, la
>>> cuenta de email asociada con la cuenta es un buen blanco poruqe puede
>>> cambiarse con los permisos del usuario y puede ser una cuenta del atacante
>>> donde "recuperr una clave".
>>>
>>> Es importante entender dos cosas: 1) Como es el usuario el que "realiza"
>>> la operación, el server confía en ese usuario para esa operación porque es
>>> una operación que puede realizar ese usuario. 2) el atacante no recibe el
>>> feedback, porque es el usuario el que realiza la accion y recibe la
>>> respuesta. Es por esto que los ataques son apuntados a cambios de estado
>>> para luego explotar esos cambios introducidos.
>>>
>>> Gedece
>>>
>>>
>>> _______________________________________________
>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>> Sitio web: http://www.python.org.ar/
>>>
>>> Para administrar la lista (o desuscribirse) entrar a
>>> http://listas.python.org.ar/listinfo/pyar
>>>
>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>>> Argentina - http://www.usla.org.ar
>>>
>>
>>
>> _______________________________________________
>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>> Sitio web: http://www.python.org.ar/
>>
>> Para administrar la lista (o desuscribirse) entrar a
>> http://listas.python.org.ar/listinfo/pyar
>>
>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>> Argentina - http://www.usla.org.ar
>>
>
>
> _______________________________________________
> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
> Sitio web: http://www.python.org.ar/
>
> Para administrar la lista (o desuscribirse) entrar a
> http://listas.python.org.ar/listinfo/pyar
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20180413/5fa564c4/attachment-0001.html>


Más información sobre la lista de distribución pyar