Cross-Site Resource Forgery (CSRF)

Cross-Site Resource Forgery (CSRF) - Spring Security

Рет қаралды 3,229

Күн бұрын

Spring Security кроме аутентификации и авторизации предоставляет инструменты для противодействия эксплойтам, например, межсайтовой подделки запросов (Cross-site Resource Forgery; CSRF).
В этом ролике я расскажу о природе CSRF-атак, продемонстрирую несколько примеров, а так же расскажу о том, как можно защититься от них, в том числе при помощи Spring Security.
Статья о маскировке CSRF-токена: alexkosarev.name/2023/01/12/s...
00:00 Вступление
01:13 Природа CSRF-атак
05:13 Проект
07:30 Примеры CSRF-атак
15:43 Способы защиты от CSRF-атак
22:35 Компоненты защиты от CSRF-атак в Spring Security
33:47 Сценарии использования защиты от CSRF-атак
#java #springsecurity #csrf
Мой сайт: alexkosarev.name/
Паблик в VK: public218833461
Канал в Telegram: t.me/+TZCuO38vG3oqu_Jq
Стать доном: donut/shurik.codes
Донаты в Boosty: boosty.to/akosarev/purchase/1...
Донаты в Tinkoff: www.tinkoff.ru/cf/4PEOiVCZQuS

Пікірлер: 18

@shurik_codes 10 ай бұрын

Статья к ролику: alexkosarev.name/2023/07/15/spring-security-csrf/

@sergeyshcherbakov3653 4 ай бұрын

офигенные статьи к роликам. низкий поклон...

@ji1ja 3 ай бұрын

Супер подробно, супер наглядно, супер спасибо)))

@krab9512 10 ай бұрын

Круто, спасибо за видео! Респект автору)

@paradiesd 10 ай бұрын

Очень интересно, я вот даже не знал про все это, даже задумался как бы я делал бы обманки))

@alexshutov5442 10 ай бұрын

Повторюсь: отличный канал

@vorova 6 ай бұрын

Чел, ты крут! Спасибо за полезный контент!)

@user-uz7nu5zf5h 6 ай бұрын

Очередной раз, огромная благодарность за видео!!!! Прочитал Вашу статью "Маскировка CSRF-токена", там так же очередная благодарность, за то, что Вы делаете, если честно не понятно, почему у Spring документация, как на ВАЗ 2101, но такое..... По маскировке CSRF-токена, хотел узнать, Вы говорите, что нужно все время делать разный размер маски, но зачем, ведь ключ к расшифровке (маски+токена) на сервере, заключается в том, чтобы знать какого размера сам токен, тоесть если использовать UUID он всегда равен 36

@shurik_codes 6 ай бұрын

со стороны атакующего это не очевидно

@romanovichihin2429 9 ай бұрын

лайк, коммент, некст!

@Fess_Summer_Soul 10 ай бұрын

Спасибо большое за контент! Есть ли шансы на то, что можно будет увидеть видео про конфигурацию Spring Security с несколькими способами аутентификации (Например JWT и OAuth) в рамках одного сервиса?

@shurik_codes 10 ай бұрын

Будет

@paradiesd 10 ай бұрын

То есть получается отправка при post запросов это больше к фронту чем к беку относится?

@shurik_codes 10 ай бұрын

Именно

@rostislavratushniy7713 10 ай бұрын

Спасибо за урок! Есть небольшой вопрос для уточнения, как csrf атака могла так долго существовать (сейчас ее на многих ресурсах отмечают невалидной) если у нас есть CORS политика? Вы показали пример, когда на бэкенде был get запрос, что встречается крайне редко, а при post запросе CORS сработает автоматически.

@shurik_codes 10 ай бұрын

1. CORS стандартом стал лишь в 2014 году 2. Многие разработчики сознательно ослабляют настройки CORS при разработке фронтенда отдельно от бекенда, не понимая последствий таких решений

@rostislavratushniy7713 10 ай бұрын

@@shurik_codes ааа, ясно, я упустил этот момент, думал CORS существует «с первых дней». Спасибо за ответ!)