Подделка HTTP-запросов
Суть - к Вам через ссылку/картинку/frame/etc с другого сайта (POST/GET), или с этого же по ссылке (GET )/через форму(POST,если возможно их добавление, а оно возможно например в почте), где Вы авторизованы, заставляют выполнить действие, компрометируя Ваши действия на атакуемом сайте.
А Все красиво расписано securitylab.ru/analytics/292473.php
Суть - к Вам через ссылку/картинку/frame/etc с другого сайта (POST/GET), или с этого же по ссылке (GET )/через форму(POST,если возможно их добавление, а оно возможно например в почте), где Вы авторизованы, заставляют выполнить действие, компрометируя Ваши действия на атакуемом сайте.
Решение(Субъективное понимание): с помощью PHP проверять откуда пришел пользователь $_SERVER["HTTP_REFERER"], прежде чем позволять выполнять ему действия POST/GET, для которых требуется авторизация.
Однако у пользвателя может и не быть Referrer, в таком случаем можно использовать и идентификаторы сессии вшитые в страницу, не предполагающую саму по себе действия, но с которой они выполняются.
2.Предупредить возможность атаки при перенаправлениях внутри сайта.
3. предусмотреть возможность атаки внутри сайта, при передаче от другого пользователя послания с ссылкой(/формой/изображение-ссылкой) в том, или ином виде.
Комментариев нет:
Отправить комментарий