LukaSafonov Nov 28 2017 at 13:37

OWASP Top 10 2017

2 min

16K

OWASP corporate blogInformation Security*

+26

Comments 5

s256 Nov 29 2017 at 00:22

Странно, что убрали CSRF… Уже забыли Егора Хомякова? )

Closius Dec 1 2017 at 20:36

Так с CSFR давно уже успешно борятся тем, что просто забивают на него. Если надо, то этот CSRF не сможно обойти

s256 Dec 1 2017 at 21:16

Позвольте полюбопытствовать и как же обойдете грамотно реализованную защиту от csrf?

Closius Dec 13 2017 at 12:05

Тем же MITM. Опять же защита должна быть в комплексе. Нельзя говорить, что только CSRF. Перехват токена csrf и дальше подмена токена сессии и фактически вы перехватили контроль csrf в свои руки. Это сложно, но возможно.
CSRF он усложнит процесс взлома, но не полностью исключит его.

s256 Jan 22 2018 at 19:53

Ну… следуя такой логике тогда уже вобще защищать ничего не нужно, без должной физической защиты ;)