csrf + clickjacking
TRANSCRIPT
1
http://abirtone.com/formacion/hacking-web-owasp-top-10/
@R_a_ff_a_e_ll_o
Hacking Web
CSRF + Clickjacking
@R_a_ff_a_e_ll_o
• ¿Qué es esto?oUna muestra de cómo se
imparte la formación en Abirtone
oNo es una charlaoSiempre enfoque práctico
[Intro]
@R_a_ff_a_e_ll_o
@R_a_ff_a_e_ll_o
• Que nadie se asuste… lo explicaremos mejor durante el curso
[CSRF]
@R_a_ff_a_e_ll_o
…consists of deceiving a web user into interacting (in most cases by clicking) with something different to what the user believes they are interacting with…
[Clickjacking]
@R_a_ff_a_e_ll_o
[Clickjacking]
@R_a_ff_a_e_ll_o
[Clickjacking]
Quiero hacer una Transferencia
bank.com?param1=111¶m2
bank.com
Confirmar
Confirmar transferencia
@R_a_ff_a_e_ll_o
[Clickjacking]
Quiero hacer una Transferencia
bank.com?param1=111¶m2
bank.com
Confirmar
Confirmar transferencia
[CSRF Token]
[CSRF Token][CSRF Token]
@R_a_ff_a_e_ll_o
[Clickjacking]
Quiero hacer una Transferencia
bank.com?param1=111¶m2
bank.com
ConfirmarConfirmar transferen-
cia
[CSRF Token]
[CSRF Token][CSRF Token]
@R_a_ff_a_e_ll_o
[Clickjacking]
@R_a_ff_a_e_ll_o
[Abirtone BANK]
@R_a_ff_a_e_ll_o
[Abirtone BANK]
@R_a_ff_a_e_ll_o
[Clickjacking]
• Protección
@R_a_ff_a_e_ll_o
[Clickjacking]
X-Frame-Options Header
• DENY, prevents any domain from framing the content.• SAMEORIGIN, which only allows the current site to frame the
content.• ALLOW-FROM uri, which permits the specified 'uri' to frame this
page. (e.g., ALLOW-FROM http://www.example.com)
@R_a_ff_a_e_ll_o
Nos vemos el 1 de Febrero en…