Cross Site Request Forgery – CSRF (Praxis)

In diesem Video die praktischen Ausführungen zu Cross Site Request Forgery.

SemperVideo.de

SemperVideo.de

Auf unserer Website finden Sie viele Informationen, die “Bad Guys” negativ einsetzen könnten. “Good Guys” können sich mit diesen Informationen besser schützen. Die wichtige Frage ist also, ob die “Good Guys” sicherer sind, wenn wir diese Informationen nicht verbreiten.



  • Kommentare zum Video

    Benachrichtigung
    avatar
    5000
    Sortiert nach:   neuste | älteste | beste Bewertung
    O0oOo8oOo0O
    Zuschauer

    lumpig! dumm wer sowas über GET-Formulare macht

    Cheat1995
    Zuschauer

    Ich dachte bis jetzt immer, der beste Schutz ist garnicht erst ins Internet
    zu gehen, denn ein alternatives Angriffsszenario lässt sich leicht aufbauen.

    popcornpopper2007
    Zuschauer

    Mit POST kann man immer noch ein form erstellen, es unsichtbar zu machen
    und automatisch abzuschicken. Der einzige wirksame Schutz ist ein
    CSRF-Token, der bei jeder Möglichkeit neu generiert wird und nicht (nur) in
    den Cookies gespeichert werden darf.

    rishabh gupta
    Zuschauer

    WHICH LANGUAGE THEY ARE USING?

    lonelywanderer
    Zuschauer

    Ist es schon Schutz genug, wenn man das Passwort nicht über GET, sondern
    über POST überträgt? Mit GET ist dieses Szenario aber auch wirklich einfach
    zu knacken und jeder Webentwickler, der das noch so einbaut, der sollte
    dringend sein Quarterabitur nachholen…

    derspontanie94
    Zuschauer

    Wie macht man das ganze denn, wenn ein POST-Request verlangt wird, und kein
    GET-Request wie hier im Video gezeigt?

    derspontanie94
    Zuschauer

    @12345maXxi in Anführungszeichen…

    Pascal Mondkind
    Zuschauer

    Video vorbei = Schule zu ende. xD

    SemperVideo
    Zuschauer

    @Ladsch Kommt jetzt auf die Definition und den Inhalt der Session-Variablen
    an, aber auf dem PC des Opfers befindet sich ja eine gültige Session-ID,
    weil er vor Stunden/Tagen noch eingeloggt war. Google merkt sich ja auch
    das einloggen für bis zu 30 Tage (oder so). Also nur ne Session ID bringt
    nichts, weil eine solche vorhanden ist.

    wpDiscuz