CSRF (доска)
Переглядів 7,698
Рік томуразбираем схему CSRF атаки
@bcanary4252 11 місяців тому
Уже только за одни художественные навыки преподавателя можно лайк поставить 😁
@iharsh9953 6 місяців тому
Спасибо, очень наглядное объяснение.
@gyros9162 3 місяці тому
Ништяк
@sasha200425 8 місяців тому
спасибо огромное за такое подробное и высококлассное объяснение! наконец-то стало все понятно!! просто сама рисовала эти схемы и на каких-то моментах всегда сбивалась.. а тут все очень последовательно и подробно! еще раз огромное спасибо!!! у меня вопрос: если на сайте зломышленника со сути выполняется скрипт, воспроизводящий запрос к сайту банка, то чем этот механиз атаки отличается от механизма атаки XSS??
@sasha200425 8 місяців тому
аа, script только сабмитит ссылку.. все, поняла) извините)
@gamewithrap 5 місяців тому
Спасибо за видео. А разве CORS не спасает от этого?
@vbashun 5 місяців тому
не от всего. от некоторых видов запросов спасает
@gamewithrap 5 місяців тому
@@vbashun а если для запросов использовать хедеры не из whitelist-а, тогде браузер же отправит OPTIONS запрос перед POST-ом? Тогда и CORS подловит, не?
@nikitasinsobaki 9 місяців тому
Я вот что не понял как злоумышленник сделает так что-бы именно пользователь отправил этот запрос в банк?
@hodakoov 9 місяців тому
пользователь ничего сам отправлять не будет. Браузер пользователя все сделает за него, потому что на hack.html лежит автоматический скрипт, который запустится при загрузке страницы.
@nikitasinsobaki 9 місяців тому
@@hodakoov Скрипт на JS? Вообще я имел ввиду разве можно заставить браузер отправлять запросы на левый сервер просто до этого я думал что так нельзя
@hodakoov 9 місяців тому
@@nikitasinsobaki да именно скрипт на js. Который сам за тебя нажимает кнопку по отправке формы. И да это стрёмно, но от этого есть защита и она должна быть встроена на сервере.
@user-hq6nm2tf6j 7 місяців тому
@@hodakoov это CORS
@vladislavstepanov7591 6 місяців тому
@@user-hq6nm2tf6j корс это про другое. Сам javascript запрос не делает, он лишь сабмитит форму. После чего запрос выполняется на стороне браузера
@stellamakkartni1244 11 місяців тому
Спасибо за объяснения. Но не очень понятно, почему после второго запроса (от пользователя к hack.html) произойдет третий запрос (от пользователя к банку) с данными от hack.html. Спасибо
@slavanslavan9330 10 місяців тому
потому что пользователь заходит на этот сайт, после чего код, размещенный на сайте злоумышленника выполняется в браузере пользователя и от пользователя посылается соответствующий запрос к банку
@user-gj3eq1gl6p 4 місяці тому
@@slavanslavan9330 но этоже всё-таки кросдоменный запрос. Браузер наверное сделать должен pre-fly запрос и посмотреть заголовки ответа на OPTIONS-запрос, и уже на основании этого делать или не делать запрос POST в соответствии с политикой CORS. Или я чет не понимаю?
Суспільне Львів
Переглядів 685 тис.
HighLoad Channel
Переглядів 12 тис.
Бизнес анализ BPMN требования
Переглядів 8 тис.
Winderton
Переглядів 559 тис.