Site vulneravel?

securityschool
(usa BackTrack)

Enviado em 27/04/2013 - 13:42h

http://s21.postimg.org/9zt8wwolz/corrigirbrecha.png

entao pessoal estou ajudando minha escola a montar um site e talz, porem a algum tempo estudava invasoes de sistemas e em seguida mandava um email com as brechas no banco de dados do site, porem eu somente consegui invadir as maiores brechas, para testar a segurança do site que estamos desenvolvendo comprei um software que mostrava essas brechas e me deparei com 3 brechas assim"HTML form without CSRF protection" existe com alguem invadir e como concertar isso pois pretendo invadir e ver oq da para modificar ou "ver" e em seguida tentar corrigir ou msm esconder os dados

Buckminster
(usa Debian)

Enviado em 27/04/2013 - 14:57h

CSRF - Cross-Site Request Forgery. É uma vulnerabilidade na qual o atacante pode exibir uma página de formulário semelhante ao do seu site e fazer com que os usuários enviem os dados para ele.

Use somente POST nos forms;
Veja se o site é vulnerável a XSS;
Crie uma chave CSRF.

Veja isto como se proteger:
http://codeutopia.net/blog/2008/10/16/how-to-csrf-protect-all-your-forms/