Profil: @forsa - Wpisy (plusowane)

31.01.2019, 07:58:36

198

CSRF to niedoceniany błąd, który może doprowadzić do nieświadomego wykonania jakiejś akcji przez zalogowanego użytkownika – chociażby stworzenia nowego konta administratora.
Dzisiaj w #od0dopentestera wytłumaczę jak działa ten mechanizm.

Przesyłając dane do strony zazwyczaj używamy formularza.
Serwer odpowiednio procesuje wysłane przez nas informacje i na ich podstawie wykonuje daną akcję.
Ale nic nie stoi na przeszkodzie, żeby ten sam formularz umieścić na jakiejś innej stronie – nie powiązanej z tą, do której przesyłamy dane.

KacperSzurek - CSRF to niedoceniany błąd, który może doprowadzić do nieświadomego wyk...

jack_

31.01.2019, 11:38:09

7

@KacperSzurek: to trochę nie do końca jest tak z CSRF

Stąd też atakujący może dla przykładu umieścić formularz mający za zadanie stworzyć nowego administratora na swojej stronie a następnie musi przekonać nas, abyśmy będąc zalogowanymi odwiedzili jego witrynę. Wtedy to dane z formularza zostaną automatycznie przesłane razem z naszym ciasteczkiem – a ponieważ, byliśmy zalogowani – serwer wykona żądaną akcję.

Po pierwsze ludzie tak jak w przypadku fałszywych linków w banku muszą być świadomi co

elmasterlow

31.01.2019, 11:51:21

6

@jack_:

Co ma sesja w PHP, ciastku, SSL i same-origin policy do opisanego przypadku, kiedy w formularzu w action wpisujesz adres serwera i request idzie do niego? Gdzie nawet użytkownik o tym nie musi wiedzieć bo wchodząc na stronę można zrobić w javascripcie kliknięcie na submit, gdzie nastąpi przekierowanie do strony docelowej postem bez tokenu w formularzu :)

sanglier

28.12.2018, 06:10:37 via Wykop Mobilny (Android)

2130

Jednym prostym sposobem podniósł zarobki Polaków! [Zobacz jak]

A tak na poważnie. Mało pracowników zdaje sobie sprawę z faktu, że składka ZUS składa się dwóch części (pracownika i pracodawcy). Razem jest to niemal 20%!

Zastanawiam się dlaczego ten fakt jest skrzętnie ukrywany...

Bo

sanglier - Jednym prostym sposobem podniósł zarobki Polaków! [Zobacz jak]

A tak na p... — **źródło:** comment_oxJCAcFdaiqiK8euuJpI3XlyDYWxVCPo.jpg
Pobierz

weeego

28.12.2018, 06:21:37 via Android

1062

@sanglier ale to w szkole uczą że chłop panszczyzniany był wykorzystywany

elzevir

28.12.2018, 07:14:06

407

@sanglier: Coś w tym jest - mój dobry znajomy całe życie na etacie pracował, przeszedł niedawno na B2B i co miesiąc regularnie przeżywa to, że dostaje przelew na 12k a w kieszeni zostaje mu 8k ;D (VAT, CIT, ZUS)

WolnoscRownoscBraterstwo

30.08.2017, 06:21:15

752

#rozdajo #pozwolenienabron #strzelectwo

Dobra, robię prawilne #rozdajo. Wśród plusujących wybieram jedną osobę, która uzyska darmowe roczne członkostwo w strzeleckim klubie sportowym (Braterstwo.eu z Wrocławia) i darmowy kurs przygotowujący do zdania patentu strzeleckiego PZSS. Kurs zawiera 230 nabojów i trwa 7h na strzelnicy (cały czas strzelasz). Sporo zabawy i można sprawdzić, czy to jest coś na przyszłość dla Ciebie.

To dwa pierwsze kroki do wyrobienia własnego pozwolenia na broń sportową. Wyrobienie pozwolenia jest łatwe -- tak jak prawo jazdy. Kosztuje łącznie około 1600 zł, trwa jakieś 6 miesięcy. Teraz się wydaje długo, ale 6 miesięcy minie i masz AK47 (lub poprawniej: AKM).