Buscar este blog

domingo, 19 de mayo de 2013

Nueva vulnerabilidad CSRF en LinkedIn

Vicente Aguilera, socio fundador de ISecAuditors, ha publicado una interesante PoC sobre una nueva vulnerabilidad CSRF (Cross Site Request Forgery) en LinkedIn 
que podría permitir a un atacante acceder a la información de cualquier contacto sin el conocimiento/consentimiento del usuario afectado.


Los pasos son los siguientes:
1.- visita LinkedIn.com y accede con el perfil que desees usar
2.- haz clic en añadir conexiones
3.- añade cualquier dirección de correo electrónico
4.- usa un proxy como WebScarab o Burp
5.- borra los parámetros que no son usados/validados

    csrfToken
    sourceAlias

6.- usa el método HTTP GET en lugar de POST
7.-




8.-




9-


Finalmente puedes ver el vídeo completo del PoC en el nuevo canal de ISecAuditors en Youtube:
  



Fuente: Hackplayers

No hay comentarios:

Publicar un comentario