Paweł Goleń, blog

Kolejna lekcja: Cross Site Request Forgery, na razie tylko przykład. Całość to nieco zmodyfikowana lekcja III, do której wprowadziłem podatność XSS. Poza tym parametr action jest brany obecnie z $POST, a nie $REQUEST (by nie było za łatwo). Zadanie – za pomocą XSS usunąć dowolną wiadomość. Nie jest to do końca “cross site”, bo atak jest z tej samej strony, na której wykonywana jest akcja, ale chodzi o pokazanie, że można zmusić przeglądarkę, by wykonała akcję bez udziału użytkownika.

Oryginał tego wpisu dostępny jest pod adresem Bootcamp IV: Cross Site Request Forgery (tylko przykład)

Autor: Paweł Goleń