Читать книгу Na tropie błędów. Przewodnik hakerski - Peter Yaworski - Страница 33

Podatności CSRF stanowią kolejną możliwość ataku, który atakujący mogą wykonać bez żadnej wiedzy ofiary bądź potrzeby wykonania przez nią specjalnych czynności. Znalezienie CSRF-a wymaga sporo pomysłowości i wytrwałości, by w pełni przetestować aplikację.

Ogólnie rzecz biorąc, frameworki aplikacji, takie jak Ruby on Rails, coraz częściej chronią formularze w przypadku, gdy witryna wykonuje żądania POST; nie dotyczy to jednak żądań GET. Z tego powodu miej na uwadze wszelkie zapytania GET, które zmieniają dane po stronie serwera (takie jak odłączenie konta Twitter). W dodatku, mimo że nie dodałem przykładu takiego działania, możesz próbować zmieniać wartość tokenu CSRF bądź usuwać go całkowicie, aby upewnić się, że serwer weryfikuje jego obecność.