LukaSafonov 28 ноя 2017 в 13:37

OWASP Top 10 2017

2 мин

16K

Блог компании OWASP Информационная безопасность *

+26

Комментарии 5

s256 29 ноя 2017 в 00:22

Странно, что убрали CSRF… Уже забыли Егора Хомякова? )

Closius 1 дек 2017 в 20:36

Так с CSFR давно уже успешно борятся тем, что просто забивают на него. Если надо, то этот CSRF не сможно обойти

s256 1 дек 2017 в 21:16

Позвольте полюбопытствовать и как же обойдете грамотно реализованную защиту от csrf?

Closius 13 дек 2017 в 12:05

Тем же MITM. Опять же защита должна быть в комплексе. Нельзя говорить, что только CSRF. Перехват токена csrf и дальше подмена токена сессии и фактически вы перехватили контроль csrf в свои руки. Это сложно, но возможно.
CSRF он усложнит процесс взлома, но не полностью исключит его.

s256 22 янв 2018 в 19:53

Ну… следуя такой логике тогда уже вобще защищать ничего не нужно, без должной физической защиты ;)

Зарегистрируйтесь на Хабре , чтобы оставить комментарий