CSRF

CSRF (Сross Site Request Forgery, Подделка межсайтовых запросов) – атака на пользователей web-сайтов, в рамках проведения которой используются недостатки протокола HTTP. При посещении созданного злоумышленниками ресурса, от лица пользователя тайно отправляется запрос на другой сервер, который осуществляет определенную вредоносную деятельность (к примеру, перевод денег на счет мошенников).

Для успешного проведения атаки жертва должна быть авторизована на том сервере, на который отправляется запрос. Более того запрос не должен требовать подтверждения со стороны пользователя, так как он может быть проигнорирован или подделан атакующим скриптом.

Среди применений CSRF выделяют эксплуатацию пассивных XSS, обнаруженных на другом сервере. Помимо этого, также возможно осуществлять отправку спама от лица жертвы и изменять настройки учетных записей на других сайта (к примеру, секретного вопроса для восстановления пароля).