Saltar al contenido principal

CSRF + SameSite Lax bypass

Cookies con SameSite=Lax (default desde Chrome 80) se envían en navegación top-level GET pero no en POST cross-site.

Categoría: Web · Vectores avanzados 🎯 Trinchera — Cookies con SameSite=Lax (default desde Chrome 80) se envían en navegación top-level GET pero no en POST cross-site. Bypass: usar formularios <form method="POST" action="https://victim/api/transfer"> que el browser auto-envía si el atacante encadena con target=_top o redirect → método GET con efecto de mutación si la app lo permite. 🔗 Kill chain — Encontrar endpoint mutation que acepte GET (error de diseño común), o explotar ventana de 2 min en Chrome donde cookies recién creadas son tratadas como SameSite=None. 📡 Huella defensiva — Operaciones mutation por GET, requests desde Referer externos. ⚠️ Falso amigoSameSite=Lax no protege si el endpoint acepta GET. Validar también CSRF token. 🛡️ Remediación — Token anti-CSRF (__Host-csrf cookie + body field), SameSite=Strict para sesiones admin, prohibir mutation por GET.
Volver al glosario completo Última actualización: 2026-06-11