Rozdział 11. Cross-Site Request Forgery (CSRF)

Czasem wiadomo, że istnieje pewien punkt końcowy API, który umożliwia wykonanie pewnego zadania, nie ma jednak do niego dostępu, ponieważ wymaga on określonych uprawnień (np. konta administratora).

W tym rozdziale omawiam ataki Cross-Site Request Forgery (CSRF), za pomocą których konto administratora lub innego użytkownika o podwyższonych uprawnieniach wykonuje operację w imieniu agresora. Nie trzeba przy tym korzystać z kodu JavaScriptu.

Ataki CSRF wykorzystują sposób działania przeglądarek i relację zaufania między witryną a przeglądarką. Znajdując wywołania API, które opierają się na tej relacji w celu zapewnienia bezpieczeństwa — ale darzą przeglądarkę zbyt dużym zaufaniem — można przygotować ...

Get Bezpieczeństwo nowoczesnych aplikacji internetowych now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Bezpieczeństwo nowoczesnych aplikacji internetowych by Andrew Hoffman

Rozdział 11. Cross-Site Request Forgery (CSRF)

Don’t leave empty-handed

It’s yours, free.

Check it out now on O’Reilly