Коротко о защите от интернет-угроз. (CSRF)
Что такое CSRF?
Подделка межсайтовых запросов (также известная как CSRF) - это атака, при которой злоумышленник обманывает жертву, выполняя действия от ее имени.
В случае успешной CSRF-атаки злоумышленник заставляет пользователя-жертву непреднамеренно выполнить действие. Например, это может быть изменение адреса электронной почты в их учетной записи, изменение пароля или перевод средств. В зависимости от характера действия злоумышленник может получить полный контроль над учетной записью пользователя.
Как работает CSRF?
CSRF обычно проводятся с использованием вредоносной социальной инженерии, такой как ссылка, которая заставляет жертву отправить поддельный запрос на сервер. Поскольку ничего не подозревающий пользователь аутентифицируется своим приложением во время атаки, невозможно отличить законный запрос от поддельного.
Пример CSRF
Перед тем как совершить нападение, преступник, как правило, готовит поддельный запрос, чтобы он выглядел как можно более законным.
Например, типичный запрос GET на банковский перевод в размере 100 долларов может выглядеть следующим образом:
Действия в Интернете могут привести к последствиям в реальной жизни. Будьте внимательны!