Уже только за одни художественные навыки преподавателя можно лайк поставить 😁
@iharsh99537 ай бұрын
Спасибо, очень наглядное объяснение.
@gyros91623 ай бұрын
Ништяк
@sasha2004259 ай бұрын
спасибо огромное за такое подробное и высококлассное объяснение! наконец-то стало все понятно!! просто сама рисовала эти схемы и на каких-то моментах всегда сбивалась.. а тут все очень последовательно и подробно! еще раз огромное спасибо!!! у меня вопрос: если на сайте зломышленника со сути выполняется скрипт, воспроизводящий запрос к сайту банка, то чем этот механиз атаки отличается от механизма атаки XSS??
@sasha200425
9 ай бұрын
аа, script только сабмитит ссылку.. все, поняла) извините)
@gamewithrap6 ай бұрын
Спасибо за видео. А разве CORS не спасает от этого?
@vbashun
5 ай бұрын
не от всего. от некоторых видов запросов спасает
@gamewithrap
5 ай бұрын
@@vbashun а если для запросов использовать хедеры не из whitelist-а, тогде браузер же отправит OPTIONS запрос перед POST-ом? Тогда и CORS подловит, не?
@nikitasinsobaki10 ай бұрын
Я вот что не понял как злоумышленник сделает так что-бы именно пользователь отправил этот запрос в банк?
@hodakoov
10 ай бұрын
пользователь ничего сам отправлять не будет. Браузер пользователя все сделает за него, потому что на hack.html лежит автоматический скрипт, который запустится при загрузке страницы.
@nikitasinsobaki
10 ай бұрын
@@hodakoov Скрипт на JS? Вообще я имел ввиду разве можно заставить браузер отправлять запросы на левый сервер просто до этого я думал что так нельзя
@hodakoov
10 ай бұрын
@@nikitasinsobaki да именно скрипт на js. Который сам за тебя нажимает кнопку по отправке формы. И да это стрёмно, но от этого есть защита и она должна быть встроена на сервере.
@user-hq6nm2tf6j
8 ай бұрын
@@hodakoov это CORS
@vladislavstepanov7591
6 ай бұрын
@@user-hq6nm2tf6j корс это про другое. Сам javascript запрос не делает, он лишь сабмитит форму. После чего запрос выполняется на стороне браузера
@stellamakkartni124411 ай бұрын
Спасибо за объяснения. Но не очень понятно, почему после второго запроса (от пользователя к hack.html) произойдет третий запрос (от пользователя к банку) с данными от hack.html. Спасибо
@slavanslavan9330
11 ай бұрын
потому что пользователь заходит на этот сайт, после чего код, размещенный на сайте злоумышленника выполняется в браузере пользователя и от пользователя посылается соответствующий запрос к банку
@user-gj3eq1gl6p
5 ай бұрын
@@slavanslavan9330 но этоже всё-таки кросдоменный запрос. Браузер наверное сделать должен pre-fly запрос и посмотреть заголовки ответа на OPTIONS-запрос, и уже на основании этого делать или не делать запрос POST в соответствии с политикой CORS. Или я чет не понимаю?
Пікірлер: 17
Уже только за одни художественные навыки преподавателя можно лайк поставить 😁
Спасибо, очень наглядное объяснение.
Ништяк
спасибо огромное за такое подробное и высококлассное объяснение! наконец-то стало все понятно!! просто сама рисовала эти схемы и на каких-то моментах всегда сбивалась.. а тут все очень последовательно и подробно! еще раз огромное спасибо!!! у меня вопрос: если на сайте зломышленника со сути выполняется скрипт, воспроизводящий запрос к сайту банка, то чем этот механиз атаки отличается от механизма атаки XSS??
@sasha200425
9 ай бұрын
аа, script только сабмитит ссылку.. все, поняла) извините)
Спасибо за видео. А разве CORS не спасает от этого?
@vbashun
5 ай бұрын
не от всего. от некоторых видов запросов спасает
@gamewithrap
5 ай бұрын
@@vbashun а если для запросов использовать хедеры не из whitelist-а, тогде браузер же отправит OPTIONS запрос перед POST-ом? Тогда и CORS подловит, не?
Я вот что не понял как злоумышленник сделает так что-бы именно пользователь отправил этот запрос в банк?
@hodakoov
10 ай бұрын
пользователь ничего сам отправлять не будет. Браузер пользователя все сделает за него, потому что на hack.html лежит автоматический скрипт, который запустится при загрузке страницы.
@nikitasinsobaki
10 ай бұрын
@@hodakoov Скрипт на JS? Вообще я имел ввиду разве можно заставить браузер отправлять запросы на левый сервер просто до этого я думал что так нельзя
@hodakoov
10 ай бұрын
@@nikitasinsobaki да именно скрипт на js. Который сам за тебя нажимает кнопку по отправке формы. И да это стрёмно, но от этого есть защита и она должна быть встроена на сервере.
@user-hq6nm2tf6j
8 ай бұрын
@@hodakoov это CORS
@vladislavstepanov7591
6 ай бұрын
@@user-hq6nm2tf6j корс это про другое. Сам javascript запрос не делает, он лишь сабмитит форму. После чего запрос выполняется на стороне браузера
Спасибо за объяснения. Но не очень понятно, почему после второго запроса (от пользователя к hack.html) произойдет третий запрос (от пользователя к банку) с данными от hack.html. Спасибо
@slavanslavan9330
11 ай бұрын
потому что пользователь заходит на этот сайт, после чего код, размещенный на сайте злоумышленника выполняется в браузере пользователя и от пользователя посылается соответствующий запрос к банку
@user-gj3eq1gl6p
5 ай бұрын
@@slavanslavan9330 но этоже всё-таки кросдоменный запрос. Браузер наверное сделать должен pre-fly запрос и посмотреть заголовки ответа на OPTIONS-запрос, и уже на основании этого делать или не делать запрос POST в соответствии с политикой CORS. Или я чет не понимаю?