Анти CSRF комментарии

Мои теги

#ai #python #php

bibilink 19.01
• 2 окт 2013, 23:48

•••

даный кусок кода служит минимальной защитой от малоизвестного типа атаки как csrf, это тип межсайтовых запросов, ориентированых на вызов каких то действий со стороны юзера (администратора), к примеру вызов какого то действия через фрейм,при условии что юзер авторизирован на атакуемом сайте..
<iframe width=\"0\" height=\"0\" src=\"http://мойсайт.ру/blog.php?delete=1\"></iframe>
Когда юзер зайдет на сайт с этим кодом,то очистится его блог..и он даже ничего не заподозрит..
Но даное обращение пишется в реферер.. и мы можем проверить действительно ли с нашего сайта обращались к скрипту..

Tede 0.33
• 4 окт 2013, 19:31

Tede 0.33
• 4 окт 2013, 19:30

Йа лошара, миня взламаль мегокулхацкир SV

SV 2.63
• 4 окт 2013, 17:26

Вот, что будет, если не пользоваться этим скриптом:
http://sv.hak.su/

SV 2.63
• 4 окт 2013, 14:32

NOTEFREE 0.06
• 4 окт 2013, 11:08

~AL~ , причем здесь какой то чужой браузер? Не тупи, тоже мне сенсей

~AL~ 11.86
• 4 окт 2013, 00:59

NOTEFREE, учи мат. часть. Рефер передает браузер клиента, а не сервер и значение в чужом браузере программно ты никак не изменишь

NOTEFREE 0.06
• 3 окт 2013, 14:27

~AL~, что ты лепишь? При подобной проверке серяется обычный реферер, если я его подменю у себя, и буду направлять жертву уже по своему адресу, такая проверка будет до одного места.

bibilink 19.01
• 3 окт 2013, 13:31

даже процитирую \"служит минимальной защитой\"

Victor 41.38
• 3 окт 2013, 13:19

Обходиться легко

~AL~ 11.86
• 3 окт 2013, 12:27

NOTEFREE, ни на что я не отвечал. Рефер нужно подменять жертве, чтобы обойти код. Зачем жертве изменять рефер на рефер своего сайте на сайте чужом, где стоит фрейм? Логика где?

Поздравляем с наступающим Новым годом! Пусть 2025 год принесёт вдохновение, успешные проекты и стабильный рост! Желаем лёгкого кода, надёжных партнёров и личного счастья. Спасибо, что вы с нами!..