При уязвимости к межсайтовой подделке запросов (cross-site request forgery, или CSRF) злоумышленник заставляет браузер жертвы послать HTTP-запрос другому веб-сайту, чтобы тот выполнил действие, исходя из доверия отправителю запроса. Обычно для этого нужно, чтобы жертва была аутентифицирована на атакуемом сайте. В случае успеха CSRF-атаки злоумышленник получает возможность изменить информацию на серверной стороне или даже захватить учетную запись жертвы.
Ловушка для багов. Полевое руководство по веб-хакингу
·
Питер Яворски