Jump to content
Sign in to follow this  
xzolsu

CSRF/XSRF - что это такое.

Recommended Posts

Выдержка из wiki:

CSRF - (англ. Сross Site Request Forgery — «межсайтовая подделка запроса», также известна как XSRF) — вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, которое не может быть проигнорировано или подделано атакующим скриптом. вид

Т.е.:

Есть пользователь- "исследователь" - image.png.099f9b85b53426e245c6981a351b03f2.png

 

Есть пользователь -  "испытуемый"image.png.e9e10c3f331f959b6706a93a5093f2d9.png

 

И есть сервак с имеющейся уязвимостью "CSRF/XSRF": image.png.344bc8cabc46f426bd48f8d409929461.png

 

Реализация выглядит схематично так:image.thumb.png.651aa8b951e46b3e9c5f7fd4c0a6c4e2.png

Словесно:

"Испытуемый" заходит на дружественный проект, где нет CSRF/XSRF защиты, делает свои дела, и отправляется сёрфить инет, заходит на сайт товарища "исследователя", видит кнопочку - "Кликни и будет тебе удача во всем", кликает по ней и в тот же момент, ну почти в тот же, испытуемый изменяет пароль на своем дружественном проекте, сам того не ведая, ну и конечно получает "+ к карме и удачу в своих делах".

 

P.S.: Знания используются как во вред окружающим, так и во благо, тёмный путь не всегда более денежный. Знания должны быть общедоступны. Человек сам решает как поступить с новыми знаниями. У вас своя голова на плечах мои верные k0d'еры.

 

  • Like 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...