Примеры атак
🌍
CORS Misconfiguration
Неправильная настройка CORS позволяет злоумышленнику отправлять кросс-доменные запросы с куками жертвы. Демонстрация: скрытый перевод денег через вредоносный сайт.
- 🌐 Автоматический запрос с учетными данными
- 🍪 Использование cookies жертвы
- 🛡️ Отсутствие проверки Origin на сервере
- 💸 Скрытая отправка средств
🎣
CSRF (Cross-Site Request Forgery)
Атака, при которой злоумышленник заставляет жертву выполнить нежелательное действие на сайте, где жертва аутентифицирована. Пример: фишинговая страница автоматически меняет пароль.
- 🎭 Подделка межсайтового запроса
- 📬 Автоматическая отправка формы
- 🔑 Смена пароля без ведома жертвы
- 🍪 Эксплуатация активной сессии