CSRF-уязвимости все еще актуальны
CSRF (Сross Site Request Forgery) в переводе на русский — это подделка межсайтовых запросов. Михаил Егоров (0ang3el) в своем докладе на Highload++ 2017 рассказал о CSRF-уязвимостях, о том, какие обычно используются механизмы защиты, а также как их все равно можно обойти. А в конце вывел ряд советов о том, как правильно защищаться от CSRF-атак. Под катом расшифровка этого выступления.
О спикере: Михаил Егоров работает в компании Ingram Micro Cloud и занимается Application security. В свободное время Михаил занимается поиском уязвимостей и Bug hunting и выступает на security-конференциях
Дисклаймер: приведенная информация является сугубо мнением автора, все совпадения случайны.
В том, что CSRF-атаки работают виноват этот Cookie-монстр. Дело в том, что многие веб-приложения используют куки (здесь и далее считаем уместным называть cookies по-русски) для управления сессией пользователя. Браузер устроен так, что, если у него есть куки пользователя для данного домена и пути, он их автоматически отправляет вместе с HTTP-запросом.
Читать дальше →
О спикере: Михаил Егоров работает в компании Ingram Micro Cloud и занимается Application security. В свободное время Михаил занимается поиском уязвимостей и Bug hunting и выступает на security-конференциях
Дисклаймер: приведенная информация является сугубо мнением автора, все совпадения случайны.
В том, что CSRF-атаки работают виноват этот Cookie-монстр. Дело в том, что многие веб-приложения используют куки (здесь и далее считаем уместным называть cookies по-русски) для управления сессией пользователя. Браузер устроен так, что, если у него есть куки пользователя для данного домена и пути, он их автоматически отправляет вместе с HTTP-запросом.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Мой первый VPS: Чек-лист по превращению «голой» машины в маленькую крепость (Часть 1)
- МТС Твой бизнес: Россияне рассказали, каким банкам они доверяют
- Как фестивали объединяют людей. Опыт организации и диджитал-продвижения Пикника Афиши
- Out of the box: отчуждаемый механизм корреляции
- Переделали сайт страховой компании и подняли конверсию на 30%
- bit kogan: Бюджет РФ: а возможна ли катастрофа?
- Анализ уязвимости CVE-2025-27736 в Power Dependency Coordinator
- Продвижение в историях: VK Реклама запустила новый формат
- Flare-On 11: Task 7 (2024) – Анализ и криптовзлом
- Как мы строим антифрод в анонимных крипто-свапалках: опыт и грабли