Nueva vulnerabilidad CSRF en LinkedIn
Vicente Aguilera, socio fundador de ISecAuditors, ha publicado una interesante PoC sobre una nueva vulnerabilidad CSRF (Cross Site Request Forgery) en LinkedIn que podría permitir a un atacante acceder a la información de cualquier contacto sin el conocimiento/consentimiento del usuario afectado.
Los pasos son los siguientes:
Los pasos son los siguientes:
- Visita LinkedIn.com y accede con el perfil que desees usar
- Haz clic en añadir conexiones
- Añade cualquier dirección de correo electrónico
- Usa un proxy como WebScarab o Burp
- Borra los parámetros que no son usados/validados
- csrfToken
- sourceAlias
- Usa el método HTTP GET en lugar de POST
- Finalmente puedes ver el vídeo completo del PoC en el nuevo canal de ISecAuditors en Youtube.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!