Zgodnie z zapowiedzią kolejny przykład - połączenie podatności Cross Site Request Forgery i Cross Site Scripting.
Bootcamp V: Cross Site Request Forgery i Cross Site Scripting (tylko przykład)
Przykład ten: http://bootcamp.threats.pl/lesson05/ różni się od poprzedniego (http://bootcamp.threats.pl/lesson04/) wprowadzeniem dodatkowego parametru: token. Parametr ten jest weryfikowany przy operacji usuwania wpisu, musi on być zgodny z wartością zapisaną w sesji. Jeśli wartość ta się nie zgadza, wiadomość nie jest usuwana.
Obie podatności (błędy) znajdują swoje odzwierciedlenie również na liście SANS Top25:
Zadanie: podobnie jak w poprzednim przykładzie pokazać jaki kod osadzony na stronie (przez cross site scripting) spowoduje automatyczne usunięcie wszystkich wiadomości. Będzie to mała modyfikacja skryptu z poprzedniego odcinka: Bootcamp: Cross Site Request Forgery.
