CSRF (Сross Site Request Forgery, Подделка межсайтовых запросов) – атака на пользователей web-сайтов, в рамках проведения которой используются недостатки протокола HTTP. При посещении мошеннического ресурса, от лица пользователя тайно отправляется запрос на другой сервер, который осуществляет определенную вредоносную деятельность (к примеру, перевод денег на счет мошенников).
Для успешного проведения атаки жертва должна быть авторизована на том сервере, на который отправляется запрос. Более того, запрос не должен требовать подтверждения со стороны пользователя, так как он может быть проигнорирован или подделан атакующим скриптом.
Среди применений CSRF выделяют эксплуатацию пассивных XSS, обнаруженных на другом сервере. Помимо этого, также возможно осуществлять отправку спама от лица жертвы и изменять настройки учетных записей на других сайтах (например, секретного вопроса для восстановления пароля).
Более пяти тысяч веб-ресурсов уже попали под удар новой масштабной кампании.
Новое исследование раскрывает тревожную статистику самых частых уязвимостей.
Утечка данных клиентов Microsoft - сценарий, ставший реальностью.
CISA требует принять срочные меры, чтобы защитить критическую инфраструктуру.
Как халатность властей КНР ставит под удар безопасность граждан.
GPT-4 лучше и дешевле пентестеров в поиске уязвимостей.
Новые исправления уязвимостей направлены на защиту данных и предотвращению взлома.
Пользователям нужно срочно принять рекомендуемые меры защиты для сохранения контроля над системами.
Уязвимость затрагивает 29 моделей роутеров DrayTek серии Vigor.
Специалисты нашли уязвимость еще в феврале, но она так и не была исправлена.
На сайте Samsung.com исправлены три CSRF-уязвимости.
CSRF-уязвимость позволяла посторонним сайтам получать данные пользователей соцсети и их друзей.
Начиная со следующего месяца, в Firefox появится поддержка атрибута cookie SameSite.
Уязвимость позволяла подключить к своей учетной записи Oculus чужой Facebook-аккаунт и захватить над ним контроль.
Компания выплатила обнаружившему уязвимость британскому эксперту $13 тыс.
Злоумышленник может осуществить CSRF-атаку, перенаправить видеопоток на другое устройство и раскрыть пароль беспроводной сети.
Ошибки существуют в течение двух лет и до сих пор не исправлены.
Три неисправленные бреши затрагивают несколько ключевых продуктов компании.
Размер вознаграждений варьируется от $25 до $1 тыс.
Бреши позволяют осуществить XSS- и CSRF-атаки, а также скомпрометировать систему.
Бреши позволяют злоумышленнику получить контроль над приложением и системой в целом.
Удаленный злоумышленник может получить доступ к доменам, зарегистрированным с помощью данного сервиса.
Егор Хомяков представил пример CSRF атак, используя которые можно, в том числе, осуществить кражу денег.