Antwort #4 am: 09. September 2016, 21:56:27
Das Prinzip der Attacke ist Einbettung des Schadcodes
Ein typischer und bei Angreifern sehr beliebter Weg, um die Attacke durchzuführen, ist über HTML Image-Tags oder JavaScript Image-Objekte
src-Attribute des <img>-Tags ein und der Browsers
Das Einzige, was für die erfolgreiche Attacke von Bedeutung ist - der Nutzer muss in der Applikation eingeloggt sein.
Beispiel:
<img src="http://example.de/delete_user.php?id=12" />
<script src="http://example.de/delete_user.php?id=12"></script>
<script>
var myImage = new Image();
myImage.src="http://example.de/delete_user.php?id=12"
</script>
Und als dritte Maßnahme gegen CSRF kann man jedes Formular mit einem zufällig erzeugten und nur einmal gültigen Token versehen und diesen dann bei Anfragen serverseitig überprüfen.
Sorry aber das CSRF in der 2.0 sollte nochmal überarbeitet werden.
Zusatz: Betrifft auch 2.0 Gastlogin
Info: Tabbed-Browsing
Fazit:
Cross-Site Request Forgery ist eine weitere Attacke, mit der man viel anstellen kann. Besonders gefährlich ist sie, wenn der Nutzer Administrator Rechte besitzt. Denn in dem Fall können nicht nur die Daten vom Nutzer selbst, sondern die vieler anderen Nutzern manipuliert werden.
nice Greet
Ich würde dem ganzen mal bitte mit Hochdruck nachgehen !!!!!