ANTICHAT Forum
HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
НОВЫЕ ТОРГОВАЯ НОВОСТИ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Веб-уязвимости
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

CSRF — как понять и защитить от этой штуки без лишних заморочек
  #1  
Старый Вчера, 10:10
Wurko
Новичок
Регистрация: 19.10.2012
Сообщений: 10
С нами: 7139126

Репутация: 0
По умолчанию CSRF — как понять и защитить от этой штуки без лишних заморочек

Кто сталкивался с CSRF, знает, что это одна из тех атак, что работают через доверие браузера к сайту. Короче, если у пользователя есть сессия на сайте, злоумышленник может заставить браузер сделать что-то нежелательное — например, изменить пароль или перевести деньги, просто подгрузив определённый запрос. При этом жертва даже не заметит, что что-то не так.

Лично я обычно проверяю, есть ли на сайте защита от CSRF через токены в формах и заголовки. Если это современный фреймворк, вроде Django или Laravel, там почти всегда встроено, но иногда бывает, что кто-то забывает добавить в свои API правильный механизм. Вот на что обращаю внимание:

- Есть ли в формах уникальный токен, который сервер проверяет на стороне?
- Не принимаются ли запросы без нужного заголовка типа X-Requested-With?
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.