ITVDN: курсы программирования
Видеокурсы по
программированию

Доступ более чем к 7700 видеоурокам от $19.99

Подписка
ITVDN logo
Видеокурсы по
программированию

Доступ более чем к 7700 видеоурокам от $19.99

Подписка

ВИДЕОУРОК №2. CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем веб-приложении

Для просмотра полной версии видеокурса и получения доступа к дополнительным учебным материалам Вам необходимо оформить подписку Подписка
Описание видеоурока
Титры видеоурока
Скачать материалы
Рекомендуемая литература
Уязвимости Cross-Site Request Forgery (CSRF) являются "классикой" AppSec и хорошо известны как специалистам по безопасности, так и разработчикам веб-приложений. Сегодня, как правило, при разработке веб-приложений уделяется внимание защите от CSRF-атак, и реализуются механизмы защиты. Также относительно новая технология "SameSite cookie", должна еще больше обезопасить веб-приложения от CSRF. На текущий момент CSRF находится на 8 месте в списке OWASP Top-10, в то время как они находились на 5 месте до 2013 года. Означает ли это, что CSRF-уязвимости стали менее актуальными и "уходят в прошлое"? Практика показывает, что нет. Как правило, разработчики реализуют один из следующих популярных вариантов CSRF-защиты: CSRF tokens, Double Submit cookie, Referer-/Origin-based protection, Content-Type protection. Не очевидные особенности работы или баги отдельных браузеров и самого веб-приложения на практике позволяют обходить CSRF-защиту. В докладе пойдет речь о "трюках", которые позволяют атакующему обходить тот или иной тип CSRF-защиты, а также о том, на что следует обратить внимание разработчику или AppSec-инженеру при защите веб-приложения от CSRF.
Титров к данному уроку не предусмотрено
Рекомендуемой литературы к данному уроку не предусмотрено
комментарии и обсуждения