NP
CSRF - это как бы от фреймов защита. не?
CSRF - это Cross-Site Request Forgery.
Size: a a a
2021 January 30
A
Ну вы в курсе как она эксплуатируется?
NP
ну давай, покажи мне генератор нового csrf токена для КАЖДОГО запроса
А зачем мне генерировать CSRF для каждого запроса, когда тебе достаточно один раз установить токен для клиента
V💊
90% csrf знаешь как выглядяят? при первом рендере бэк создает токен который будет работать для всех запросов в течении достаточно длительного времени. и знаешь что я могу сделать? я могу взять этот csrf, взять куку, и отправить их на сервер, всё
AD
А зачем мне генерировать CSRF для каждого запроса, когда тебе достаточно один раз установить токен для клиента
Кинь url сайта или приложения, где ты реализовал вид авторизации, за который топишь, пожалуйста.
NP
Кинь url сайта или приложения, где ты реализовал вид авторизации, за который топишь, пожалуйста.
Сайты клиентов я тебе показывать не буду, а свой проект, который я перевожу на сессии я еще не задеплоил)
V💊
Сайты клиентов я тебе показывать не буду, а свой проект, который я перевожу на сессии я еще не задеплоил)
ну тогда всё, холивар закрыт
AD
Сайты клиентов я тебе показывать не буду, а свой проект, который я перевожу на сессии я еще не задеплоил)
Спасибо. Всё понял.
NP
Спасибо. Всё понял.
Сомневаюсь)
NP
90% csrf знаешь как выглядяят? при первом рендере бэк создает токен который будет работать для всех запросов в течении достаточно длительного времени. и знаешь что я могу сделать? я могу взять этот csrf, взять куку, и отправить их на сервер, всё
Не можешь)
V💊
с чего это вдруг?
R
А в чем спор был? Токены против сессий?
NP
с чего это вдруг?
Ну попробуй отправить реквест с этими куками с того же постмана. Апишка тебе высрет, что реквест невалиден, ибо проверка не прошла)
SS
- все гамно!
- почему?
- знаю как лучше!
- покажешь?
- не покажу
- почему?
- знаю как лучше!
- покажешь?
- не покажу
V💊
Ну попробуй отправить реквест с этими куками с того же постмана. Апишка тебе высрет, что реквест невалиден, ибо проверка не прошла)
так у меня будет валидная сессия, будет валидный csrf почему реквест не пройдет вдруг?
AD
- все гамно!
- почему?
- знаю как лучше!
- покажешь?
- не покажу
- почему?
- знаю как лучше!
- покажешь?
- не покажу
Тсс... :)
NP
- все гамно!
- почему?
- знаю как лучше!
- покажешь?
- не покажу
- почему?
- знаю как лучше!
- покажешь?
- не покажу
ну я не в праве палить проекты своих клиентов)
R
Ну попробуй отправить реквест с этими куками с того же постмана. Апишка тебе высрет, что реквест невалиден, ибо проверка не прошла)
Тоже очень интересно.
A
Все уязвимо. Ломаю соседский WiFi (получаю handshake) захожу на онлайн сервис расшифровки handshake плачу 1$, ставлю WireShark получаю ваш sid подставляю к себе в браузер - релоад страницы = доступ к аккаунту. Изи.
NP
так у меня будет валидная сессия, будет валидный csrf почему реквест не пройдет вдруг?
Ты можешь прямо сейчас задеплоить проект на ноде с csurf и express-session