[pyar] CSRF y fFlask
Sebastián Schiavinato
seba.schiavinato en gmail.com
Dom Abr 15 19:35:57 -03 2018
https://www.owasp.org/index.php/Top_10_2013-A8-Cross-Site_Request_Forgery_(CSRF)
La solución es pedir más que la información de sesión, por lo que en OWASP
2017 ya ni se preocuparon en mencionarlo. Casi todos los web frameworks lo
limitan por defecto.
Saludos
2018-04-13 12:23 GMT-03:00 Luis Andraschnik <luis.andraschnik en gmail.com>:
> Buena idea hacer un e-comerce sin protección CSRF para vender
> compulsivamente, el único problema es que debe ser un poco ilegal ...
>
> El 13 de abril de 2018, 11:38, Francisco J Capdevila <
> fjcapdevila en gmail.com> escribió:
>
>> Hacer tu app segura frente a CSRF es relativamente fácil. Deberías tener
>> una MUY buena razón para hacerla insegura a propósito ante un tipo de
>> ataque tan conocido.
>>
>> Francisco J. Capdevila
>>
>> El 13 de abril de 2018, 11:15, Luis Andraschnik <
>> luis.andraschnik en gmail.com> escribió:
>>
>>> Si en el navegador tengo desactivada la ejecución de javascript no sería
>>> posible el ataque?
>>>
>>> El 13 de abril de 2018, 10:51, Federico Apelhanz <
>>> elmaildejapel en gmail.com> escribió:
>>>
>>>> csrf es una forma de protejerte vos contra posibles ataques, sirve para
>>>> asegurarte que el post
>>>> que te llega es de un formulario que efectivamente serviste desde tu
>>>> app. Un ejemplo burdo es el siguiente, tenes un e-commerce sin csrf, tenes
>>>> un cliente logeado, tranquilamente alquien puede pasarle un pagina con
>>>> codigo js malicioso que haga un post contra tu servidor y le haga comprar
>>>> 10000000 cosas, tu app chequea que esta logeado y listo, lo da como valido
>>>> porque no chequea más nada. Sobre si tenes que implementarlo vos para una
>>>> lan, lo recomendable es que si, porque seguis siendo vulnerable.
>>>>
>>>> El 13 de abril de 2018, 10:36, Luis Andraschnik <
>>>> luis.andraschnik en gmail.com> escribió:
>>>>
>>>>> Lo que no me queda claro es quien es el que implementa la protección
>>>>> de los formularios,por ejemplo, si tengo abierto gmail en el navegador, esa
>>>>> sería un posible objetivo de ataque, la protección la debe implementar
>>>>> gmail? Si yo tengo una app en desarrollo, pueden usar mi app como medio
>>>>> para atacar mi cuenta de google?, o la app mía es el blanco? y el atacante
>>>>> dónde está , es una tercer página web?
>>>>>
>>>>> En definitiva yo tengo que implementar sí o sí protección CSRF en mi
>>>>> app flask esté corriendo mi servidor en una LAN como en internet?
>>>>>
>>>>> Tengo una ensalada ...
>>>>>
>>>>> El 13 de abril de 2018, 10:21, Gustavo Campanelli <gedece en gmail.com>
>>>>> escribió:
>>>>>
>>>>>>
>>>>>> 2018-04-13 10:05 GMT-03:00 Luis Andraschnik <
>>>>>> luis.andraschnik en gmail.com>:
>>>>>>
>>>>>>> Buen día grupo!
>>>>>>>
>>>>>>> Aún no entiendo bien cuales son los actores ni como funciona un
>>>>>>> ataque CSRF, pero quería saber si yo estoy haciendo una app Flask en red
>>>>>>> local , tengo que habilitar protección CSRF en los formularios?
>>>>>>> Gracias!
>>>>>>> Luis
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>>>>>> Sitio web: http://www.python.org.ar/
>>>>>>>
>>>>>>> Para administrar la lista (o desuscribirse) entrar a
>>>>>>> http://listas.python.org.ar/listinfo/pyar
>>>>>>>
>>>>>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre
>>>>>>> de Argentina - http://www.usla.org.ar
>>>>>>
>>>>>>
>>>>>> Por lo que lei y sinser un especialista, CSRF es un ataque que
>>>>>> afecta al servidor al recibir comandos que el usuario no deseaba incluir en
>>>>>> las acciones del usuario. De tal forma que cuando un usuario se autentica
>>>>>> usa las acciones del usuario para cambiar ciertos estados. Por ejemplo, la
>>>>>> cuenta de email asociada con la cuenta es un buen blanco poruqe puede
>>>>>> cambiarse con los permisos del usuario y puede ser una cuenta del atacante
>>>>>> donde "recuperr una clave".
>>>>>>
>>>>>> Es importante entender dos cosas: 1) Como es el usuario el que
>>>>>> "realiza" la operación, el server confía en ese usuario para esa operación
>>>>>> porque es una operación que puede realizar ese usuario. 2) el atacante no
>>>>>> recibe el feedback, porque es el usuario el que realiza la accion y recibe
>>>>>> la respuesta. Es por esto que los ataques son apuntados a cambios de estado
>>>>>> para luego explotar esos cambios introducidos.
>>>>>>
>>>>>> Gedece
>>>>>>
>>>>>>
>>>>>> _______________________________________________
>>>>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>>>>> Sitio web: http://www.python.org.ar/
>>>>>>
>>>>>> Para administrar la lista (o desuscribirse) entrar a
>>>>>> http://listas.python.org.ar/listinfo/pyar
>>>>>>
>>>>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre
>>>>>> de Argentina - http://www.usla.org.ar
>>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>>>> Sitio web: http://www.python.org.ar/
>>>>>
>>>>> Para administrar la lista (o desuscribirse) entrar a
>>>>> http://listas.python.org.ar/listinfo/pyar
>>>>>
>>>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>>>>> Argentina - http://www.usla.org.ar
>>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>>> Sitio web: http://www.python.org.ar/
>>>>
>>>> Para administrar la lista (o desuscribirse) entrar a
>>>> http://listas.python.org.ar/listinfo/pyar
>>>>
>>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>>>> Argentina - http://www.usla.org.ar
>>>>
>>>
>>>
>>> _______________________________________________
>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>> Sitio web: http://www.python.org.ar/
>>>
>>> Para administrar la lista (o desuscribirse) entrar a
>>> http://listas.python.org.ar/listinfo/pyar
>>>
>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>>> Argentina - http://www.usla.org.ar
>>>
>>
>>
>> _______________________________________________
>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>> Sitio web: http://www.python.org.ar/
>>
>> Para administrar la lista (o desuscribirse) entrar a
>> http://listas.python.org.ar/listinfo/pyar
>>
>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>> Argentina - http://www.usla.org.ar
>>
>
>
> _______________________________________________
> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
> Sitio web: http://www.python.org.ar/
>
> Para administrar la lista (o desuscribirse) entrar a
> http://listas.python.org.ar/listinfo/pyar
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>
--
Sebastián Schiavinato
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20180415/821e1eb9/attachment.html>
Más información sobre la lista de distribución pyar