Исходное сообщение
"Рейтинг самых опасных ошибок, зафиксированных в 2009 году" Отправлено Аноним, 18-Фев-10 22:13
>Да злосайт сайтом называется только ради красоты Нет. Ради определённости. Нужны термины для ведения дискуссии. >обычная машинка с доступом к сети и "специализированными" скриптами Да. >HTTP сервера там может и не быть Нет. >главное чтобы он слушал команды злоумышленника и мог формировать произвольные HTTP запросы И то и другое не нужно. >это не сложно Да. >ну если уж совсем хочется то можно и HTTP сервер прикрутить и перехватывать рефереры пользователей Не требуется. >но это уже не суть Да. >Вот я и предлагаю чтобы когда надо этот злоклиент отправил запрос с необходимыми параметрами на атакуемый сайт. Нет доступа к сайту (логина/пароля), неизвестны куки, другой ip. >В том то и дело что известны, цитирую автора еще раз: Автор пишет об использовании его Cookie и ip. Он не уточнил известны они злосайту или нет. >Он предполагает что куки уже перехвачены, а также имеется возможность подставить ip Нет. Он думает иначе. >и после этого предлагает защищаться реферером Да. >а вот этого я уже не понимаю Да. >И вообще, ведь далеко не каждый сайт подразумевает авторизацию (куки) и уж тем более проверку ip. Да. Доступ к ним злоумышленник может получить не применяя этот тип атаки. Она предназначена для сайтов, на которые необходимо так или иначе войти с авторизацией, прежде чем осуществлять какие-либо действия.