Opened by Rambo at 2020-01-10 14:53
User since
2003-08-04
12208 Artikel
Admin1
![[Homepage]](/battie/theme/default/homepage.gif)
2003-08-04
12208 Artikel
Admin1
CSRF funktioniert, ohne dass die Angreiferin die Session-ID kennt.
Eine angreifende Webseite veranlasst den Browser, einen GET- oder POST-Request auf die Zielseite abzusetzen. Dabei wird die Session im Cookie übertragen.
GET-Requests lassen sich so (über ein eingebetettes img Tag z.b.) sehr einfach forgens
POST-Requests sind etwas komplizierter und erfordern Javascript, oder müssen den Nutzer dazu bringen, auf was zu klicken, was vertrauenerweckend aussieht.
Insofern wären Session-IDs in der URL und niemals im Cookie in diesem Fall sogar günstig. Das hat aber andere Nachteile.
Last edited: 2020-01-14 16:18:32 +0100 (CET)
Eine angreifende Webseite veranlasst den Browser, einen GET- oder POST-Request auf die Zielseite abzusetzen. Dabei wird die Session im Cookie übertragen.
GET-Requests lassen sich so (über ein eingebetettes img Tag z.b.) sehr einfach forgens
POST-Requests sind etwas komplizierter und erfordern Javascript, oder müssen den Nutzer dazu bringen, auf was zu klicken, was vertrauenerweckend aussieht.
Insofern wären Session-IDs in der URL und niemals im Cookie in diesem Fall sogar günstig. Das hat aber andere Nachteile.
Last edited: 2020-01-14 16:18:32 +0100 (CET)
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem