🔐 Что такое CSRF (Cross-Site Request Forgery) CSRF (Cross-Site Request Forgery) — это уязвимость, при которой злоумышленник заставляет браузер пользователя выполнить действие на сайте от его имени, без его ведома. Проще говоря: пользователь уже авторизован на сайте, а злоумышленник заставляет его браузер отправить вредоносный запрос. Сервер считает, что действие выполняет сам пользователь. 🔎 Как это выглядит на практике Пользователь авторизован в интернет-банке. Есть запрос для перевода денег: POST /transfer amount=1000&to=attacker Если пользователь отправит такой запрос — деньги переведутся. Но злоумышленник может разместить на своём сайте такую страницу: <form action="https://bank.com/transfer" method="POST"> <input type="hidden" name="amount" value="1000"> <input type="hidden" name="to" value="attacker"> </form> <script> document.forms[0].submit(); </script> Когда пользователь откроет эту страницу — его браузер автоматически отправит запрос. И вместе с ним отправятся cookies сессии. А мы же помним, что можно с ними делать?🤫 Хештеги: #web #owasp