На днях почитал хабрахабр, где узнал о таком интересном понятии, как Cross Site Request Forgery (CSRF). Используется сия выдумка в основном недобросовестными веб-программистами, например, для привлечения пользователей на свой сайт. Суть его Request-а в том, что он перехватывает запрос с одного сайта на другой. Например посредством элементарного JS скрипта вроде этого:

<script>
function doit() {
var html;
html = '<img src=http://vkontakte.ru/profileEdit.php?page=contacts&subm=1&website=http://blablabla.com>';
window.frames["frm"].document.body.innerHTML = html;
}
</script>
<iframe HEIGHT="0" WIDTH="0" ONLOAD="doit()" NAME="frm"></iframe>

Данный кусок "псевдовредоносного" кода выполняет следующую функцию. Он заставляет ваш браузер автоматически сделать запрос по ссылке vkontakte.ru/profileEdit.php?page=contacts&subm=1&website=http://blablabla.com, при этом если в этот момент вы авторизованы на сайте vkontakte.ru, то в анкете поле "Веб-сайт" станет равным blablabla.com (в частности так прописано в приведённом JS).

Затем ваши друзья, желающие посетить "ваш сайт", клинув по ссылке в анкете, изменят профайл и себе... и так до бесконечности.

Кстати, таким образом вообще при желании и недоброй смекалке веб-мастер может изменить анкету любого пользователя...

Метки: , ,