CSRF

CSRF (Сross Site Request Forgery, Подделка межсайтовых запросов) – атака на пользователей web-сайтов, в рамках проведения которой используются недостатки протокола HTTP. При посещении созданного злоумышленниками ресурса, от лица пользователя тайно отправляется запрос на другой сервер, который осуществляет определенную вредоносную деятельность (к примеру, перевод денег на счет мошенников).

Для успешного проведения атаки жертва должна быть авторизована на том сервере, на который отправляется запрос. Более того запрос не должен требовать подтверждения со стороны пользователя, так как он может быть проигнорирован или подделан атакующим скриптом.

Среди применений CSRF выделяют эксплуатацию пассивных XSS, обнаруженных на другом сервере. Помимо этого, также возможно осуществлять отправку спама от лица жертвы и изменять настройки учетных записей на других сайта (к примеру, секретного вопроса для восстановления пароля).

article-title

Уязвимости на сайте Samsung позволяли похищать учетные записи

На сайте Samsung.com исправлены три CSRF-уязвимости.

article-title

Уязвимость в Facebook ставила под угрозу данные пользователей

CSRF-уязвимость позволяла посторонним сайтам получать данные пользователей соцсети и их друзей.

article-title

В Firefox появится защита от CSRF-атак

Начиная со следующего месяца, в Firefox появится поддержка атрибута cookie SameSite.

article-title

Уязвимость в интеграции Oculus-Facebook позволяла получить контроль над чужими учетными записями

Уязвимость позволяла подключить к своей учетной записи Oculus чужой Facebook-аккаунт и захватить над ним контроль.

article-title

Уязвимость в системе аутентификации сервисов Microsoft позволяла получить доступ к Outlook, Azure и Office

Компания выплатила обнаружившему уязвимость британскому эксперту $13 тыс.  

article-title

В камере Motorola Focus 73 обнаружены множественные уязвимости

Злоумышленник может осуществить CSRF-атаку, перенаправить видеопоток на другое устройство и раскрыть пароль беспроводной сети.

article-title

Сайт розничной сети Asda подвержен множественным уязвимостям

Ошибки существуют в течение двух лет и до сих пор не исправлены.

article-title

Cisco предупреждает о множественных уязвимостях в ряде продуктов

Три неисправленные бреши затрагивают несколько ключевых продуктов компании.

article-title

Tesla Motors будет выплачивать вознаграждения за найденные бреши на своем сайте

Размер вознаграждений варьируется от $25 до $1 тыс.

article-title

Исследователи обнаружили три уязвимости в сетевом шлюзе производства Motorola

Бреши позволяют осуществить XSS- и CSRF-атаки, а также скомпрометировать систему.

article-title

В web-интерфейсе pfSense обнаружены множественные уязвимости

Бреши позволяют злоумышленнику получить контроль над приложением и системой в целом.

article-title

Сервис GoDaddy содержит CSRF-уязвимость [Обновлено]

Удаленный злоумышленник может получить доступ к доменам, зарегистрированным с помощью данного сервиса.

article-title

CSRF

article-title

Исследователь обнаружил CSRF уязвимости на многих web-сайтах

Егор Хомяков представил пример CSRF атак, используя которые можно, в том числе, осуществить кражу денег.