Nie moge dopisac sie w temacie w dziale tourtiale, wiec robie to tutaj
Autor nawet nie otarl sie o prawdziwy sens ani nawet definicje CSRF..
O czym zapomnial:
Atak tego typu czest przeprowadza sie na fora internetowe, wystarczy ze jestesmy w stanie dodac obrazek do swojego posta, np. w cmsie php-fusion wylogowanie nastepuje po wejsciu na URL, wystarczy stworzyc skrypt php:
i link do takiego 'obrazka' dodac sobie w podpisie... kazdy kto wejdzie na nasz topic zostanie natychmiast wylogowany.. wszystko co mozna zrobic czystem getem mozemy w ten wlasnie sposob zrealizowac
kolejna sprawa, to wysylanie formularzy.... przeciez javascript moze to zrobic automatycznie po wejscu na strone..
pozdro600
Autor nawet nie otarl sie o prawdziwy sens ani nawet definicje CSRF..
O czym zapomnial:
Atak tego typu czest przeprowadza sie na fora internetowe, wystarczy ze jestesmy w stanie dodac obrazek do swojego posta, np. w cmsie php-fusion wylogowanie nastepuje po wejsciu na URL, wystarczy stworzyc skrypt php:
Kod:
<?php
location('[url]http://example.com/?logout=true'[/url]);
?>i link do takiego 'obrazka' dodac sobie w podpisie... kazdy kto wejdzie na nasz topic zostanie natychmiast wylogowany.. wszystko co mozna zrobic czystem getem mozemy w ten wlasnie sposob zrealizowac
kolejna sprawa, to wysylanie formularzy.... przeciez javascript moze to zrobic automatycznie po wejscu na strone..
Kod:
<script language="JavaScript">
setTimeout("document.formularz.submit()", 0)
</script>
<form action="http://bank.com.pl/przelew.php" method="post" name="formularz">
<input type="hidden" name="kwota" value="9999999?">
</form>pozdro600
(który na dobitke nie ma zbyt wiele wspólnego z CSRF)