Nueva vulnerabilidad CSRF en LinkedIn

Vicente Aguilera, socio fundador de ISecAuditors, ha publicado una interesante PoC sobre una nueva vulnerabilidad CSRF (Cross Site Request Forgery) en LinkedIn que podría permitir a un atacante acceder a la información de cualquier contacto sin el conocimiento/consentimiento del usuario afectado.

Los pasos son los siguientes:

1. Visita LinkedIn.com y accede con el perfil que desees usar
2. Haz clic en añadir conexiones
3. Añade cualquier dirección de correo electrónico
4. Usa un proxy como WebScarab o Burp
5. Borra los parámetros que no son usados/validados
• csrfToken
• sourceAlias
6. Usa el método HTTP GET en lugar de POST
7. Finalmente puedes ver el vídeo completo del PoC en el nuevo canal de ISecAuditors en Youtube.

Fuente: HackPlayers

Suscríbete a nuestro Boletín