Комментарии: Уязвимость CSRF. Введение https://intsystem.org/security/learn-about-csrf-intro/ Случаи из опыта разработки различных WEB проектов. Интересные факты, статьи, впечатления. Программирование и все о нем в сфере WEB. Tue, 01 Oct 2019 05:46:40 +0000 hourly 1 https://wordpress.org/?v=6.6.1 Автор: Анатолий https://intsystem.org/security/learn-about-csrf-intro/#comment-37732 Tue, 01 Oct 2019 05:46:40 +0000 http://intsystem.org/?p=768#comment-37732 Грамотная статья без лишнего. Спасибо за труд!

]]> Автор: Владислав https://intsystem.org/security/learn-about-csrf-intro/#comment-32692 Tue, 19 Jun 2018 07:23:31 +0000 http://intsystem.org/?p=768#comment-32692 Спасибо за годную статью. Вот только сейчас столкнулся с необходимостью обработки такой уязвимости.
Вы очень подробно и правильно описали! Респект за такой пост.

]]> Автор: Дмитрий Амиров https://intsystem.org/security/learn-about-csrf-intro/#comment-26820 Tue, 31 Jan 2017 12:32:01 +0000 http://intsystem.org/?p=768#comment-26820 В ответ на Сергей.

Да, подвержены. Для этого достаточно создать промежуточную html страничку с формой, которая будет автоматически отправляться, и дать ссылку жертве на эту страницу.

]]> Автор: Сергей https://intsystem.org/security/learn-about-csrf-intro/#comment-26819 Tue, 31 Jan 2017 12:28:51 +0000 http://intsystem.org/?p=768#comment-26819 Спасибо за интересную сатью.
Мне не совсем ясно, а поддвержены ли этой атаке POST запрос, если да то как примерно? С GET запросом пример ясен.

]]> Автор: Дмитрий Амиров https://intsystem.org/security/learn-about-csrf-intro/#comment-25246 Thu, 10 Nov 2016 12:17:04 +0000 http://intsystem.org/?p=768#comment-25246 В ответ на Илья.

Что вы имеете ввиду?

]]> Автор: Илья https://intsystem.org/security/learn-about-csrf-intro/#comment-25243 Thu, 10 Nov 2016 07:22:32 +0000 http://intsystem.org/?p=768#comment-25243 Как сделать чтобы данные этого пользователя где-то сохранились?

]]> Автор: Дмитрий Амиров https://intsystem.org/security/learn-about-csrf-intro/#comment-22098 Thu, 29 Oct 2015 22:36:00 +0000 http://intsystem.org/?p=768#comment-22098 В ответ на Аноним.

Все верно, хакер — это в первую очередь человек с нестандартным мышлением, а не взломщик)

]]> Автор: Аноним https://intsystem.org/security/learn-about-csrf-intro/#comment-22096 Thu, 29 Oct 2015 21:47:31 +0000 http://intsystem.org/?p=768#comment-22096 Интересная уязвимость, спасибо. Блин, быть хакером это круто) Вот я бы никогда не догадался что такая атака имеет место быть) а кто то ведь додумался, а это очень неочевидно когда об этом не знаешь

]]> Автор: sk9 https://intsystem.org/security/learn-about-csrf-intro/#comment-16071 Tue, 25 Nov 2014 02:01:49 +0000 http://intsystem.org/?p=768#comment-16071 В ответ на Дмитрий Амиров.

Ок, согласен. Спасибо.

]]> Автор: Дмитрий Амиров https://intsystem.org/security/learn-about-csrf-intro/#comment-16063 Mon, 24 Nov 2014 18:47:04 +0000 http://intsystem.org/?p=768#comment-16063 В ответ на sk9.

Да, вы не передаете ему свои куки, верно. Но он может заставить выполнить запрос на уязвимый сервер от вашего имени. Этот запрос браузер выполнит с вашими же куками на этом сервере. С точки зрения уязвимого сервера этот запрос ничем не отличается от остальных запросов, и успешного его выполнит. А таким запросом может быть смена пароля, добавление нового админа, смена платежных данных и прочее.

]]>