Атака CSRF заставляет аутентифицированного пользователя (жертву) отправлять поддельный HTTP-запрос, в том числе куки-файл сеанса жертвы, в уязвимое веб-приложение, которое позволяет злоумышленнику заставить браузер жертвы генерировать запрос, чтобы уязвимое приложение воспринимало как законные запросы от жертва.
Профилактические механизмы
- CSRF можно избежать, создав уникальный токен в скрытом поле, которое будет отправлено в тело HTTP-запроса, а не в URL-адрес, который более подвержен воздействию.
- Принуждение пользователя к повторной аутентификации или доказательству того, что они являются пользователями для защиты CSRF. Например, CAPTCHA.
0 комментариев