Показать сообщение отдельно
Старый 17.09.2010, 14:14   #8
M@ZAX@KEP
 
Аватар для M@ZAX@KEP
 
Регистрация: 24.07.2010
Сообщений: 139
Репутация: 5
По умолчанию

z0mbie, это репу накручивать хотел, шкодник? xD
Маркер безопасности (речь о vBulletin) - скрытый параметр в форме, который генерируется сервером рандомно и назначается каждому юзеру. Для выполнения какого-то действия нужно вернуть вместе с формой то же самое знаение этого параметра. Получается подтверждение того, что действие выполненео именно самим пользователем. Так как угадать код этот мы не можем, то и провести XSRF не получится.

ЗЫ если кто-то знает способ составить запрос, который вернёт нужный код безопасности и атака пройдёт, буду крайне признателен))
_________________________________________

Кстати, прежде чем спросить, лучше бы тему внимательно почитал =) (да и я тоже перед тем как ответить xD)
Цитата:
Сообщение от tipsy
Особые проверки, введённые специально для нейтрализации CSRF:
-специальное input type=hidden поле, значение которого отправляется с каждой формой, и не может быть известно злоумышленнику (генерится рандомно для сессии либо для каждой страницы). Сушите вёсла, либо ищите XSS.
M@ZAX@KEP вне форума   Ответить с цитированием