Security Lab

CSRF

CSRF (Сross Site Request Forgery, Подделка межсайтовых запросов) – атака на пользователей web-сайтов, в рамках проведения которой используются недостатки протокола HTTP. При посещении мошеннического ресурса, от лица пользователя тайно отправляется запрос на другой сервер, который осуществляет определенную вредоносную деятельность (к примеру, перевод денег на счет мошенников).

Для успешного проведения атаки жертва должна быть авторизована на том сервере, на который отправляется запрос. Более того, запрос не должен требовать подтверждения со стороны пользователя, так как он может быть проигнорирован или подделан атакующим скриптом.

Среди применений CSRF выделяют эксплуатацию пассивных XSS, обнаруженных на другом сервере. Помимо этого, также возможно осуществлять отправку спама от лица жертвы и изменять настройки учетных записей на других сайтах (например, секретного вопроса для восстановления пароля).

Доклад Dogesec: почему в 2024 году софт остается уязвимым к атакам 90-х

Новое исследование раскрывает тревожную статистику самых частых уязвимостей.

Microsoft Copilot Studio: когда помощник становится врагом

Утечка данных клиентов Microsoft - сценарий, ставший реальностью.

Кража паролей и изменение настроек: новые ошибки D-Link попали в каталог CISA

CISA требует принять срочные меры, чтобы защитить критическую инфраструктуру.

Открыты для хакеров: SilkSecured бросает вызов суверенитету Китая

Как халатность властей КНР ставит под удар безопасность граждан.

OpenAI признала: GPT-4 может самостоятельно взломать любой сайт

GPT-4 лучше и дешевле пентестеров в поиске уязвимостей.

Не игнорируйте обновления: Cisco, Fortinet и VMware предотвратили утечки данных в своих продуктах

Новые исправления уязвимостей направлены на защиту данных и предотвращению взлома.

CVE-2024-23897: захват сервера Jenkins с помощью одного символа

Пользователям нужно срочно принять рекомендуемые меры защиты для сохранения контроля над системами.

Кейс: как мотивировать разработчиков заниматься вопросами безопасности

200 000 роутеров DrayTek беззащитны перед критической RCE-уязвимостью

Уязвимость затрагивает 29 моделей роутеров DrayTek серии Vigor.

Серверы веб-почты Horde в опасности: хакеры могут атаковать, используя неисправленную уязвимость

Специалисты нашли уязвимость еще в феврале, но она так и не была исправлена.

Уязвимости на сайте Samsung позволяли похищать учетные записи

На сайте Samsung.com исправлены три CSRF-уязвимости.

Уязвимость в Facebook ставила под угрозу данные пользователей

CSRF-уязвимость позволяла посторонним сайтам получать данные пользователей соцсети и их друзей.

В Firefox появится защита от CSRF-атак

Начиная со следующего месяца, в Firefox появится поддержка атрибута cookie SameSite.

Уязвимость в интеграции Oculus-Facebook позволяла получить контроль над чужими учетными записями

Уязвимость позволяла подключить к своей учетной записи Oculus чужой Facebook-аккаунт и захватить над ним контроль.

Уязвимость в системе аутентификации сервисов Microsoft позволяла получить доступ к Outlook, Azure и Office

Компания выплатила обнаружившему уязвимость британскому эксперту $13 тыс.  

В камере Motorola Focus 73 обнаружены множественные уязвимости

Злоумышленник может осуществить CSRF-атаку, перенаправить видеопоток на другое устройство и раскрыть пароль беспроводной сети.

Сайт розничной сети Asda подвержен множественным уязвимостям

Ошибки существуют в течение двух лет и до сих пор не исправлены.

Cisco предупреждает о множественных уязвимостях в ряде продуктов

Три неисправленные бреши затрагивают несколько ключевых продуктов компании.

Tesla Motors будет выплачивать вознаграждения за найденные бреши на своем сайте

Размер вознаграждений варьируется от $25 до $1 тыс.

Исследователи обнаружили три уязвимости в сетевом шлюзе производства Motorola

Бреши позволяют осуществить XSS- и CSRF-атаки, а также скомпрометировать систему.