Cross Site Request Forgery – CSRF (Praxis)

In diesem Video die praktischen Ausführungen zu Cross Site Request Forgery.

SemperVideo.de

SemperVideo.de

Auf unserer Website finden Sie viele Informationen, die “Bad Guys” negativ einsetzen könnten. “Good Guys” können sich mit diesen Informationen besser schützen. Die wichtige Frage ist also, ob die “Good Guys” sicherer sind, wenn wir diese Informationen nicht verbreiten.
Loading+ Video in die Merkliste



    • Kommentare zum Video

      avatar
      5000
        Subscribe  
      neuste älteste beste Bewertung
      Benachrichtigung
      O0oOo8oOo0O
      Zuschauer

      lumpig! dumm wer sowas über GET-Formulare macht

      Cheat1995
      Zuschauer

      Ich dachte bis jetzt immer, der beste Schutz ist garnicht erst ins Internet
      zu gehen, denn ein alternatives Angriffsszenario lässt sich leicht aufbauen.

      popcornpopper2007
      Zuschauer

      Mit POST kann man immer noch ein form erstellen, es unsichtbar zu machen
      und automatisch abzuschicken. Der einzige wirksame Schutz ist ein
      CSRF-Token, der bei jeder Möglichkeit neu generiert wird und nicht (nur) in
      den Cookies gespeichert werden darf.

      rishabh gupta
      Zuschauer

      WHICH LANGUAGE THEY ARE USING?

      lonelywanderer
      Zuschauer

      Ist es schon Schutz genug, wenn man das Passwort nicht über GET, sondern
      über POST überträgt? Mit GET ist dieses Szenario aber auch wirklich einfach
      zu knacken und jeder Webentwickler, der das noch so einbaut, der sollte
      dringend sein Quarterabitur nachholen…

      derspontanie94
      Zuschauer

      Wie macht man das ganze denn, wenn ein POST-Request verlangt wird, und kein
      GET-Request wie hier im Video gezeigt?

      derspontanie94
      Zuschauer

      @12345maXxi in Anführungszeichen…

      Pascal Mondkind
      Zuschauer

      Video vorbei = Schule zu ende. xD

      SemperVideo
      Zuschauer

      @Ladsch Kommt jetzt auf die Definition und den Inhalt der Session-Variablen
      an, aber auf dem PC des Opfers befindet sich ja eine gültige Session-ID,
      weil er vor Stunden/Tagen noch eingeloggt war. Google merkt sich ja auch
      das einloggen für bis zu 30 Tage (oder so). Also nur ne Session ID bringt
      nichts, weil eine solche vorhanden ist.