Обновление: CSRF

Алексей Возненко 15.02.2018 304

Реализована защита от межсайтовой подделки запроса.

CSRF (англ. Сross Site Request Forgery — «межсайтовая подделка запроса») — вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, которое не может быть проигнорировано или подделано атакующим скриптом.

Данный тип атак, вопреки распространённому заблуждению, появился достаточно давно: первые теоретические рассуждения появились в 1988 году, а первые уязвимости были обнаружены в 2000 году. A сам термин ввёл Peter Watkins в 2001 году.

Основное применение CSRF — вынуждение выполнения каких-либо действий на уязвимом сайте от лица жертвы (изменение пароля, секретного вопроса для восстановления пароля, почты, добавление администратора и т. д.). Также с помощью CSRF возможна эксплуатация отражённых XSS, обнаруженных на другом сервере.

Остались вопросы?

Напишите нам свой вопрос и мы свяжемся с вами в ближайшее время

Нажимая на кнопку "Отправить" Вы даете свое согласие на обработку ваших персональных данных согласно закону № 152-ФЗ и подтверждаете достоверность всех передаваемых данных
Контакты
Кузнецова 31 8 (999) 649-03-03 info@devstarter.ru
Часы работы
Понедельник - Пятница 09:00 - 17:00
Суббота - Воскресенье Выходной