Читать книгу Na tropie błędów. Przewodnik hakerski - Peter Yaworski - Страница 25

Atak Cross-Site Request Forgery (CSRF) polega na zmuszeniu przeglądarki ofiary do wysłania żądania HTTP na inną stronę internetową. Ta strona następnie podejmuje akcje w imieniu ofiary, robiąc to jednocześnie bez jej wiedzy. Tego typu ataki są możliwe, jeśli ofiara była poprzednio zautoryzowana na podatnej stronie. Pomyślny atak CSRF

może doprowadzić do modyfikacji informacji po stronie serwera, a nawet całkowitego przejęcia konta. Oto uproszczony przykład, który pokrótce omówimy:

1. Bob loguje się do swojego banku internetowego w celu sprawdzenia stanu konta.

2. Kiedy skończył, Bob sprawdza swój e-mail na innej domenie.

3. Bob otrzymał wiadomość z linkiem, który prowadzi na nieznaną stronę. Bob z ciekawości postanawia w niego kliknąć.

4. Strona, którą odwiedził, wysyła żądanie HTTP na stronę bankową Boba, w celu wykonania przelewu pieniędzy na konto atakującego.

5. Strona bankowa otrzymuje żądanie HTTP zainicjowane przez nieznaną stronę. Ponieważ bank nie ma odpowiednich zabezpieczeń CSRF,  przetwarza przelew.