| data.prot. |
межсайтовая подделка запроса (вид атаки на посетителей сайтов, использующий недостатки протокола HTTP. Если пользователь заходит на сайт, созданный злоумышленником, от его лица тайно отправляется запрос на другой сервер, например, на сервер платёжной системы, осуществляющий несанкционированную операцию, например, перевод денег на счёт злоумышленника. Для осуществления этой атаки пользователь должен быть аутентифицирован на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, которое не может быть проигнорировано или подделано атакующим скриптом. Основное применение этой атаки — вынуждение выполнения каких-либо действий на уязвимом сайте от лица пользователя, например, изменение пароля, секретного вопроса для восстановления пароля, электронной почты, добавление администратора и т. д. • Cross-Site Request Forgery. Overview: Attackers trick victims into executing unwanted actions on a web application in which they're authenticated. Example: A website that changes a user's email without verifying the request source.  uni-stuttgart.de, wikipedia.org • Shukla A. Building Web Apps with Spring 5 and Angular Alex_Odeychuk) |
