Що таке міжсайтова підробка запиту?
Підробка міжсайтового запиту (CSRF). уразливість, через яку зловмисник виконує дії, видаючи себе за іншого користувача. Наприклад, перерахувати кошти на рахунок зловмисника, змінити адресу електронної пошти жертви або навіть просто перенаправити піцу на адресу зловмисника!
Говорячи простою мовою, атака CSRF передбачає хтось обманює вас, викрадає вашу особистість і робить щось онлайн, наприклад переказ грошей з вашого банківського рахунку під вашим логіном. Атака CSRF спрямована на зміну чогось на хост-сервері.
Атака підробки міжсайтового запиту тип заплутаної кібератаки заступника*, яка обманом змушує користувача випадково використати свої облікові дані для виклику дії, що змінює стан, як-от переказ коштів зі свого рахунку, зміна адреси електронної пошти та пароля або інші небажані дії.
Підписаний подвійний файл cookie (РЕКОМЕНДОВАНО) Найбезпечнішою реалізацією шаблону подвійного файлу cookie є підписаний подвійний файл cookie, який використовує секретний ключ, відомий лише серверу. Це гарантує, що зловмисник не зможе створити та впровадити свій власний відомий маркер CSRF у автентифікований сеанс жертви.
Уразливості CSRF (Cross-Side-Request-Forgery) існують з нами з самого початку Інтернету. Однак відтоді все сильно змінилося. Нові веб-технології, стеки, методи комунікації тощо.