Прочитал сегодня следующее (статья "Безопасность PHP скриптов" ):
Цитата:CSRF, Cross-site Request Forging. Формирование на сайте хакера запроса, который будет выполнен браузером пользователя (и, как следствие - со всеми правами пользователя!). То есть, просто авторизация от этой атаки не спасает. Для защиты от этого типа атак следвет взять за правило добавлять ко всем важным формам скрытое поле, содержащее уникальную строку (сгенерированную случайным образом только для этой формы), записывать её в сессию и сравнивать при обработке формы. Хакер добавить такую строку в свою форму не сможет, и атака не сработает.
Знает ли кто что это такое и как с этим бороться? А именно: я не понимаю всю опасность того что будет если не будет скрыторо поля с уникальным значением. Да и вообще из этого мне мало что понятно. Кто знает помогите разобраться. (Отредактировано автором: 26 Марта, 2009 - 22:22:52)
|