Уже только за одни художественные навыки преподавателя можно лайк поставить 😁
@iharsh99536 місяців тому
Спасибо, очень наглядное объяснение.
@gyros91623 місяці тому
Ништяк
@sasha2004258 місяців тому
спасибо огромное за такое подробное и высококлассное объяснение! наконец-то стало все понятно!! просто сама рисовала эти схемы и на каких-то моментах всегда сбивалась.. а тут все очень последовательно и подробно! еще раз огромное спасибо!!! у меня вопрос: если на сайте зломышленника со сути выполняется скрипт, воспроизводящий запрос к сайту банка, то чем этот механиз атаки отличается от механизма атаки XSS??
@sasha2004258 місяців тому
аа, script только сабмитит ссылку.. все, поняла) извините)
@gamewithrap5 місяців тому
Спасибо за видео. А разве CORS не спасает от этого?
@vbashun5 місяців тому
не от всего. от некоторых видов запросов спасает
@gamewithrap5 місяців тому
@@vbashun а если для запросов использовать хедеры не из whitelist-а, тогде браузер же отправит OPTIONS запрос перед POST-ом? Тогда и CORS подловит, не?
@nikitasinsobaki9 місяців тому
Я вот что не понял как злоумышленник сделает так что-бы именно пользователь отправил этот запрос в банк?
@hodakoov9 місяців тому
пользователь ничего сам отправлять не будет. Браузер пользователя все сделает за него, потому что на hack.html лежит автоматический скрипт, который запустится при загрузке страницы.
@nikitasinsobaki9 місяців тому
@@hodakoov Скрипт на JS? Вообще я имел ввиду разве можно заставить браузер отправлять запросы на левый сервер просто до этого я думал что так нельзя
@hodakoov9 місяців тому
@@nikitasinsobaki да именно скрипт на js. Который сам за тебя нажимает кнопку по отправке формы. И да это стрёмно, но от этого есть защита и она должна быть встроена на сервере.
@user-hq6nm2tf6j7 місяців тому
@@hodakoov это CORS
@vladislavstepanov75916 місяців тому
@@user-hq6nm2tf6j корс это про другое. Сам javascript запрос не делает, он лишь сабмитит форму. После чего запрос выполняется на стороне браузера
@stellamakkartni124411 місяців тому
Спасибо за объяснения. Но не очень понятно, почему после второго запроса (от пользователя к hack.html) произойдет третий запрос (от пользователя к банку) с данными от hack.html. Спасибо
@slavanslavan933010 місяців тому
потому что пользователь заходит на этот сайт, после чего код, размещенный на сайте злоумышленника выполняется в браузере пользователя и от пользователя посылается соответствующий запрос к банку
@user-gj3eq1gl6p4 місяці тому
@@slavanslavan9330 но этоже всё-таки кросдоменный запрос. Браузер наверное сделать должен pre-fly запрос и посмотреть заголовки ответа на OPTIONS-запрос, и уже на основании этого делать или не делать запрос POST в соответствии с политикой CORS. Или я чет не понимаю?