Основы этичного веб-хакинга (перевод)

Размер шрифта: - +

Итоги

CSRF-атаки представляют другой опасный вектор для атак и 
могут быть быть выполнены без активных действий со сто- 
роны жертвы или вообще без её уведомления. Обнаружение 
CSRF-уязвимостей требует некоторой изобретательности и, 
опять же, желания тестировать все подряд. 
Как правило, формы стандартно защищены фреймворками 
вроде Rails если сайт выполняет POST-запрос, но API могут быть отдельной историей. Например, Shopify написан в основ- 
ном на основе фреймворка Ruby on Rails, который предостав- 
ляет защиту от CSRF-атак для всех форм по умолчанию (хотя 
её и можно отключить). Однако, очевидно, что это не обяза- 
тельно так для API, созданных с помощью этого фреймворка. 
Наконец, обращайте внимание на вызовы, которые изменяют 
данные на сервере (такие, как действие удаления) и выполня- 
ются с помощью GET-запроса.



Евгений Этичный

Отредактировано: 08.03.2019

Добавить в библиотеку


Пожаловаться