5145 подписчиков
Современные web-уязвимости (6.CSRF- Cross Site Request Forgery)
Прежде чем мы обсудим следующий тип cross-origin атак, нам нужно определить новую концепцию - идею запроса, изменяющего состояние данных (state-changing request). В контексте безопасности веб-приложений, запрос на изменение состояния может быть определен как веб-запрос, который изменяет хранящуюся информацию с одного значения на другое. Например, запросы, которые изменяют информацию профиля пользователя (адрес, номер телефона, имя и т. д.), учетные данные пользователя, электронную почту для сброса пароля, независимо от того, включена ли для пользователя двухфакторная аутентификация, перевод средств с одного банковского счета на другой или автоматическая покупка товара в интернет-магазине (Amazon's One-Click Buy, например). Несмотря на то, что существует множество книг и ресурсов, посвященных CSRF атакам, давайте кратко рассмотрим вектор атаки.
#learning #web #pentest
Около минуты
6 сентября 2022