[pyar] CSRF y fFlask

Luis Andraschnik luis.andraschnik en gmail.com
Lun Abr 16 14:19:04 -03 2018
Mensaje anterior: [pyar] CSRF y fFlask
Próximo mensaje: [pyar] Optimización de sitio
Mensajes ordenados por: [ fecha ] [ hilo ] [ asunto ] [ autor ]
Muy buena página!!
Saludos

El 15 de abril de 2018, 19:35, Sebastián Schiavinato <
seba.schiavinato en gmail.com> escribió:

> https://www.owasp.org/index.php/Top_10_2013-A8-Cross-Site_
> Request_Forgery_(CSRF)
>
> La solución es pedir más que la información de sesión, por lo que en OWASP
> 2017 ya ni se preocuparon en mencionarlo. Casi todos los web frameworks lo
> limitan por defecto.
>
> Saludos
>
> 2018-04-13 12:23 GMT-03:00 Luis Andraschnik <luis.andraschnik en gmail.com>:
>
>> Buena idea hacer un e-comerce sin protección CSRF para vender
>> compulsivamente, el único problema es que debe ser un poco ilegal ...
>>
>> El 13 de abril de 2018, 11:38, Francisco J Capdevila <
>> fjcapdevila en gmail.com> escribió:
>>
>>> Hacer tu app segura frente a CSRF es relativamente fácil. Deberías tener
>>> una MUY buena razón para hacerla insegura a propósito ante un tipo de
>>> ataque tan conocido.
>>>
>>> Francisco J. Capdevila
>>>
>>> El 13 de abril de 2018, 11:15, Luis Andraschnik <
>>> luis.andraschnik en gmail.com> escribió:
>>>
>>>> Si en el navegador tengo desactivada la ejecución de javascript no
>>>> sería posible el ataque?
>>>>
>>>> El 13 de abril de 2018, 10:51, Federico Apelhanz <
>>>> elmaildejapel en gmail.com> escribió:
>>>>
>>>>> csrf es una forma de protejerte vos contra posibles ataques, sirve
>>>>> para asegurarte que el post
>>>>>  que te llega es de un formulario que efectivamente serviste desde tu
>>>>> app. Un ejemplo burdo es el siguiente, tenes un e-commerce sin csrf, tenes
>>>>> un cliente logeado, tranquilamente alquien puede pasarle un pagina con
>>>>> codigo js malicioso que haga un post contra tu servidor y le haga comprar
>>>>> 10000000 cosas, tu app chequea que esta logeado y listo, lo da como valido
>>>>> porque no chequea más nada. Sobre si tenes que implementarlo vos para una
>>>>> lan, lo recomendable es que si, porque seguis siendo vulnerable.
>>>>>
>>>>> El 13 de abril de 2018, 10:36, Luis Andraschnik <
>>>>> luis.andraschnik en gmail.com> escribió:
>>>>>
>>>>>> Lo que no me queda claro es quien es el que implementa la protección
>>>>>> de los formularios,por ejemplo, si tengo abierto gmail en el navegador, esa
>>>>>> sería un posible objetivo de ataque, la protección la debe implementar
>>>>>> gmail? Si yo tengo una app en desarrollo, pueden usar mi app como medio
>>>>>> para atacar mi cuenta de google?, o la app mía es el blanco? y el atacante
>>>>>> dónde está , es una tercer página web?
>>>>>>
>>>>>> En definitiva yo tengo que implementar sí o sí protección CSRF en mi
>>>>>> app flask esté corriendo mi servidor en una LAN como en internet?
>>>>>>
>>>>>> Tengo una ensalada ...
>>>>>>
>>>>>> El 13 de abril de 2018, 10:21, Gustavo Campanelli <gedece en gmail.com>
>>>>>> escribió:
>>>>>>
>>>>>>>
>>>>>>> 2018-04-13 10:05 GMT-03:00 Luis Andraschnik <
>>>>>>> luis.andraschnik en gmail.com>:
>>>>>>>
>>>>>>>> Buen día grupo!
>>>>>>>>
>>>>>>>> Aún no entiendo bien cuales son los actores ni como funciona un
>>>>>>>> ataque CSRF, pero quería saber si yo estoy haciendo una app Flask en red
>>>>>>>> local , tengo que habilitar protección CSRF en los formularios?
>>>>>>>> Gracias!
>>>>>>>> Luis
>>>>>>>>
>>>>>>>> _______________________________________________
>>>>>>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>>>>>>> Sitio web: http://www.python.org.ar/
>>>>>>>>
>>>>>>>> Para administrar la lista (o desuscribirse) entrar a
>>>>>>>> http://listas.python.org.ar/listinfo/pyar
>>>>>>>>
>>>>>>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre
>>>>>>>> de Argentina - http://www.usla.org.ar
>>>>>>>
>>>>>>>
>>>>>>> Por lo que lei  y sinser un especialista, CSRF es un ataque que
>>>>>>> afecta al servidor al recibir comandos que el usuario no deseaba incluir en
>>>>>>> las acciones del usuario. De tal forma que cuando un usuario se autentica
>>>>>>> usa las acciones del usuario para cambiar ciertos estados. Por ejemplo, la
>>>>>>> cuenta de email asociada con la cuenta es un buen blanco poruqe puede
>>>>>>> cambiarse con los permisos del usuario y puede ser una cuenta del atacante
>>>>>>> donde "recuperr una clave".
>>>>>>>
>>>>>>> Es importante entender dos cosas: 1) Como es el usuario el que
>>>>>>> "realiza" la operación, el server confía en ese usuario para esa operación
>>>>>>> porque es una operación que puede realizar ese usuario. 2) el atacante no
>>>>>>> recibe el feedback, porque es el usuario el que realiza la accion y recibe
>>>>>>> la respuesta. Es por esto que los ataques son apuntados a cambios de estado
>>>>>>> para luego explotar esos cambios introducidos.
>>>>>>>
>>>>>>> Gedece
>>>>>>>
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>>>>>> Sitio web: http://www.python.org.ar/
>>>>>>>
>>>>>>> Para administrar la lista (o desuscribirse) entrar a
>>>>>>> http://listas.python.org.ar/listinfo/pyar
>>>>>>>
>>>>>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre
>>>>>>> de Argentina - http://www.usla.org.ar
>>>>>>>
>>>>>>
>>>>>>
>>>>>> _______________________________________________
>>>>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>>>>> Sitio web: http://www.python.org.ar/
>>>>>>
>>>>>> Para administrar la lista (o desuscribirse) entrar a
>>>>>> http://listas.python.org.ar/listinfo/pyar
>>>>>>
>>>>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre
>>>>>> de Argentina - http://www.usla.org.ar
>>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>>>> Sitio web: http://www.python.org.ar/
>>>>>
>>>>> Para administrar la lista (o desuscribirse) entrar a
>>>>> http://listas.python.org.ar/listinfo/pyar
>>>>>
>>>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>>>>> Argentina - http://www.usla.org.ar
>>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>>> Sitio web: http://www.python.org.ar/
>>>>
>>>> Para administrar la lista (o desuscribirse) entrar a
>>>> http://listas.python.org.ar/listinfo/pyar
>>>>
>>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>>>> Argentina - http://www.usla.org.ar
>>>>
>>>
>>>
>>> _______________________________________________
>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>> Sitio web: http://www.python.org.ar/
>>>
>>> Para administrar la lista (o desuscribirse) entrar a
>>> http://listas.python.org.ar/listinfo/pyar
>>>
>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>>> Argentina - http://www.usla.org.ar
>>>
>>
>>
>> _______________________________________________
>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>> Sitio web: http://www.python.org.ar/
>>
>> Para administrar la lista (o desuscribirse) entrar a
>> http://listas.python.org.ar/listinfo/pyar
>>
>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>> Argentina - http://www.usla.org.ar
>>
>
>
>
> --
> Sebastián Schiavinato
>
> _______________________________________________
> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
> Sitio web: http://www.python.org.ar/
>
> Para administrar la lista (o desuscribirse) entrar a
> http://listas.python.org.ar/listinfo/pyar
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20180416/c0dda362/attachment.html>
Mensaje anterior: [pyar] CSRF y fFlask
Próximo mensaje: [pyar] Optimización de sitio
Mensajes ordenados por: [ fecha ] [ hilo ] [ asunto ] [ autor ]
Más información sobre la lista de distribución pyar