| Allg. |
межсайтовая подделка запросов (тип атаки на пользователя, когда злоумышленник обманным путем заставляет пользователя отправить вредоносный запрос веб-приложению, в котором пользователь уже аутентифицирован. Это может быть достигнуто, напр., методом социальной инженерии: вредоносный запрос встраивается в письмо или ссылку на сайте, на которую пользователь нажмет с большой долей вероятности. Вредоносные запросы направляются на конечный сайт через браузер жертвы. Приложение, которое принимает эти запросы, не может отличить правомерный запрос от зловредного, так как пользователь уже аутентифицирован в нем на момент атаки. В результате злоумышленник может изменить пароль, секретный вопрос пользователя или настройки его профиля. Он получает доступ к оправке почты, может добавить себя в группу администраторов сайта и т.д. Alex_Odeychuk) |
