XXX4Fans
Програмысли from boosty
Програмысли

boosty


CSRF - пример воровства аккаунта

Давно не было видео про безопасность. Сегодня посмотрим на примере, как могут угонять аккаунты с помощью атаки CSRF - Cross site request forgery или межсайтовая подделка запросов

CSRF.mp4

Comments

<div ><div><span class="text">Наткнулся сегодня еще вот на что https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie оказывается есть еще атрибут SameSite для COOKIE который запрещает межсайтовую отправку COOKIE</span></div></div>

Vyacheslav Dokin

<div ><div><span class="text">Програмысли, я и не говорю что панацея, просто об этом не упоминается в видео, что показалось странным, ведь это хорошая возможность усложнить жизнь атакующему.</span></div></div>

Vyacheslav Dokin

<div ><div><span class="text">К защите по идее еще не помешает заголовок отдавать X-Frame-Options "SAMEORIGIN"; который разрешает отображения сайта во фрейме, только на этом же сайте, или если такое не исп. на сайте, то лучше вообще запретить отображение сайта во фреймах указав значение "DENY" (click-jack attack)</span></div></div>

Vyacheslav Dokin


Related Creators