@matimatik Покажи кейс с успешным наёбыванием юзера на сайте с POST-формой без session token'а.

@matimatik Описать уязвимость.

/0

@l29ah Создаётся сайт с формой, у которой ставится action=юрл_таргет_запроса, ну и нужные значения полей можно с type=hidden соответственно, юзер заходит на наш сайт, отправляет форму и тем самым совершает нужные нам действия.

@kagami Вообще, это всё описано на вики же.

@matimatik Да ты идиот какой-то феерический. CSRF — вполне определённая уязвимость. Поражаюсь как ты любишь пиздеть хуйню по абсолютно любой теме.

лень ковыряться/авторизовываться, чо там? хайден-поле с токеном в форме?

@kagami Благодарю.

@matimatik Как и ожидалось, вместо того, чтобы признать что сморозил хуйню, накатал стену очередной хуйни.

@matimatik Ах, ну да, на всякий случай вчитался, вдруг что дельное сказал, в самом деле, у меня ж не ad hominem там какой-то. >хотя это часто можно сделать достаточно просто, десятком-двумя строк кода на js (асинхронный get и вырвать нужный токен из полученного текста, например, регэкспами) Ох лол, про same origin policy ты ничего не знаешь? Хакир, даже не знающий основ веба, нахуй так жить?

@kagami Дети, сегодня пишем изложение по википедии.

@kagami Я тоже когда-то думал, что токен можно вырвать ажаксом и выебать систему в рот, но соснул.