[pyar] CSRF y fFlask

Francisco J Capdevila fjcapdevila en gmail.com
Vie Abr 13 11:38:58 -03 2018
Mensaje anterior: [pyar] CSRF y fFlask
Próximo mensaje: [pyar] CSRF y fFlask
Mensajes ordenados por: [ fecha ] [ hilo ] [ asunto ] [ autor ]
Hacer tu app segura frente a CSRF es relativamente fácil. Deberías tener
una MUY buena razón para hacerla insegura a propósito ante un tipo de
ataque tan conocido.

Francisco J. Capdevila

El 13 de abril de 2018, 11:15, Luis Andraschnik <luis.andraschnik en gmail.com>
escribió:

> Si en el navegador tengo desactivada la ejecución de javascript no sería
> posible el ataque?
>
> El 13 de abril de 2018, 10:51, Federico Apelhanz <elmaildejapel en gmail.com>
> escribió:
>
>> csrf es una forma de protejerte vos contra posibles ataques, sirve para
>> asegurarte que el post
>>  que te llega es de un formulario que efectivamente serviste desde tu
>> app. Un ejemplo burdo es el siguiente, tenes un e-commerce sin csrf, tenes
>> un cliente logeado, tranquilamente alquien puede pasarle un pagina con
>> codigo js malicioso que haga un post contra tu servidor y le haga comprar
>> 10000000 cosas, tu app chequea que esta logeado y listo, lo da como valido
>> porque no chequea más nada. Sobre si tenes que implementarlo vos para una
>> lan, lo recomendable es que si, porque seguis siendo vulnerable.
>>
>> El 13 de abril de 2018, 10:36, Luis Andraschnik <
>> luis.andraschnik en gmail.com> escribió:
>>
>>> Lo que no me queda claro es quien es el que implementa la protección de
>>> los formularios,por ejemplo, si tengo abierto gmail en el navegador, esa
>>> sería un posible objetivo de ataque, la protección la debe implementar
>>> gmail? Si yo tengo una app en desarrollo, pueden usar mi app como medio
>>> para atacar mi cuenta de google?, o la app mía es el blanco? y el atacante
>>> dónde está , es una tercer página web?
>>>
>>> En definitiva yo tengo que implementar sí o sí protección CSRF en mi app
>>> flask esté corriendo mi servidor en una LAN como en internet?
>>>
>>> Tengo una ensalada ...
>>>
>>> El 13 de abril de 2018, 10:21, Gustavo Campanelli <gedece en gmail.com>
>>> escribió:
>>>
>>>>
>>>> 2018-04-13 10:05 GMT-03:00 Luis Andraschnik <luis.andraschnik en gmail.com
>>>> >:
>>>>
>>>>> Buen día grupo!
>>>>>
>>>>> Aún no entiendo bien cuales son los actores ni como funciona un ataque
>>>>> CSRF, pero quería saber si yo estoy haciendo una app Flask en red local ,
>>>>> tengo que habilitar protección CSRF en los formularios?
>>>>> Gracias!
>>>>> Luis
>>>>>
>>>>> _______________________________________________
>>>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>>>> Sitio web: http://www.python.org.ar/
>>>>>
>>>>> Para administrar la lista (o desuscribirse) entrar a
>>>>> http://listas.python.org.ar/listinfo/pyar
>>>>>
>>>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>>>>> Argentina - http://www.usla.org.ar
>>>>
>>>>
>>>> Por lo que lei  y sinser un especialista, CSRF es un ataque que afecta
>>>> al servidor al recibir comandos que el usuario no deseaba incluir en las
>>>> acciones del usuario. De tal forma que cuando un usuario se autentica usa
>>>> las acciones del usuario para cambiar ciertos estados. Por ejemplo, la
>>>> cuenta de email asociada con la cuenta es un buen blanco poruqe puede
>>>> cambiarse con los permisos del usuario y puede ser una cuenta del atacante
>>>> donde "recuperr una clave".
>>>>
>>>> Es importante entender dos cosas: 1) Como es el usuario el que
>>>> "realiza" la operación, el server confía en ese usuario para esa operación
>>>> porque es una operación que puede realizar ese usuario. 2) el atacante no
>>>> recibe el feedback, porque es el usuario el que realiza la accion y recibe
>>>> la respuesta. Es por esto que los ataques son apuntados a cambios de estado
>>>> para luego explotar esos cambios introducidos.
>>>>
>>>> Gedece
>>>>
>>>>
>>>> _______________________________________________
>>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>>> Sitio web: http://www.python.org.ar/
>>>>
>>>> Para administrar la lista (o desuscribirse) entrar a
>>>> http://listas.python.org.ar/listinfo/pyar
>>>>
>>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>>>> Argentina - http://www.usla.org.ar
>>>>
>>>
>>>
>>> _______________________________________________
>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>> Sitio web: http://www.python.org.ar/
>>>
>>> Para administrar la lista (o desuscribirse) entrar a
>>> http://listas.python.org.ar/listinfo/pyar
>>>
>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>>> Argentina - http://www.usla.org.ar
>>>
>>
>>
>> _______________________________________________
>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>> Sitio web: http://www.python.org.ar/
>>
>> Para administrar la lista (o desuscribirse) entrar a
>> http://listas.python.org.ar/listinfo/pyar
>>
>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>> Argentina - http://www.usla.org.ar
>>
>
>
> _______________________________________________
> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
> Sitio web: http://www.python.org.ar/
>
> Para administrar la lista (o desuscribirse) entrar a
> http://listas.python.org.ar/listinfo/pyar
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20180413/7157862d/attachment.html>
Mensaje anterior: [pyar] CSRF y fFlask
Próximo mensaje: [pyar] CSRF y fFlask
Mensajes ordenados por: [ fecha ] [ hilo ] [ asunto ] [ autor ]
Más información sobre la lista de distribución pyar