Cross-Site Resource Forgery (CSRF) - Spring Security

Spring Security кроме аутентификации и авторизации предоставляет инструменты для противодействия эксплойтам, например, межсайтовой подделки запросов (Cross-site Resource Forgery; CSRF).
В этом ролике я расскажу о природе CSRF-атак, продемонстрирую несколько примеров, а так же расскажу о том, как можно защититься от них, в том числе при помощи Spring Security.
Статья о маскировке CSRF-токена: alexkosarev.na...
00:00 Вступление
01:13 Природа CSRF-атак
05:13 Проект
07:30 Примеры CSRF-атак
15:43 Способы защиты от CSRF-атак
22:35 Компоненты защиты от CSRF-атак в Spring Security
33:47 Сценарии использования защиты от CSRF-атак
#java #springsecurity #csrf
Мой сайт: alexkosarev.name/
Паблик в VK: public2...
Канал в Telegram: t.me/+TZCuO38v...
Стать доном: donut/s...
Донаты в Boosty: boosty.to/akos...
Донаты в Tinkoff: www.tinkoff.ru...

Пікірлер: 18

  • @shurik_codes
    @shurik_codes Жыл бұрын

    Статья к ролику: alexkosarev.name/2023/07/15/spring-security-csrf/

  • @sergeyshcherbakov3653
    @sergeyshcherbakov36536 ай бұрын

    офигенные статьи к роликам. низкий поклон...

  • @paradiesd
    @paradiesd Жыл бұрын

    Очень интересно, я вот даже не знал про все это, даже задумался как бы я делал бы обманки))

  • @krab9512
    @krab9512 Жыл бұрын

    Круто, спасибо за видео! Респект автору)

  • @alexshutov5442
    @alexshutov5442 Жыл бұрын

    Повторюсь: отличный канал

  • @user-uz7nu5zf5h
    @user-uz7nu5zf5h8 ай бұрын

    Очередной раз, огромная благодарность за видео!!!! Прочитал Вашу статью "Маскировка CSRF-токена", там так же очередная благодарность, за то, что Вы делаете, если честно не понятно, почему у Spring документация, как на ВАЗ 2101, но такое..... По маскировке CSRF-токена, хотел узнать, Вы говорите, что нужно все время делать разный размер маски, но зачем, ведь ключ к расшифровке (маски+токена) на сервере, заключается в том, чтобы знать какого размера сам токен, тоесть если использовать UUID он всегда равен 36

  • @shurik_codes

    @shurik_codes

    8 ай бұрын

    со стороны атакующего это не очевидно

  • @vorova
    @vorova8 ай бұрын

    Чел, ты крут! Спасибо за полезный контент!)

  • @ji1ja
    @ji1ja5 ай бұрын

    Супер подробно, супер наглядно, супер спасибо)))

  • @Fess_Summer_Soul
    @Fess_Summer_Soul Жыл бұрын

    Спасибо большое за контент! Есть ли шансы на то, что можно будет увидеть видео про конфигурацию Spring Security с несколькими способами аутентификации (Например JWT и OAuth) в рамках одного сервиса?

  • @shurik_codes

    @shurik_codes

    Жыл бұрын

    Будет

  • @romanovichihin2429
    @romanovichihin242911 ай бұрын

    лайк, коммент, некст!

  • @rostislavratushniy7713
    @rostislavratushniy7713 Жыл бұрын

    Спасибо за урок! Есть небольшой вопрос для уточнения, как csrf атака могла так долго существовать (сейчас ее на многих ресурсах отмечают невалидной) если у нас есть CORS политика? Вы показали пример, когда на бэкенде был get запрос, что встречается крайне редко, а при post запросе CORS сработает автоматически.

  • @shurik_codes

    @shurik_codes

    Жыл бұрын

    1. CORS стандартом стал лишь в 2014 году 2. Многие разработчики сознательно ослабляют настройки CORS при разработке фронтенда отдельно от бекенда, не понимая последствий таких решений

  • @rostislavratushniy7713

    @rostislavratushniy7713

    Жыл бұрын

    @@shurik_codes ааа, ясно, я упустил этот момент, думал CORS существует «с первых дней». Спасибо за ответ!)

  • @paradiesd
    @paradiesd Жыл бұрын

    То есть получается отправка при post запросов это больше к фронту чем к беку относится?

  • @shurik_codes

    @shurik_codes

    Жыл бұрын

    Именно

  • @Alamych
    @Alamych Жыл бұрын

    Контент топчик! Еще бы причмокивать перестал - вообще зашибись было бы.