спасибо огромное за такое подробное и высококлассное объяснение! наконец-то стало все понятно!! просто сама рисовала эти схемы и на каких-то моментах всегда сбивалась.. а тут все очень последовательно и подробно! еще раз огромное спасибо!!! у меня вопрос: если на сайте зломышленника со сути выполняется скрипт, воспроизводящий запрос к сайту банка, то чем этот механиз атаки отличается от механизма атаки XSS??
@@vbashun а если для запросов использовать хедеры не из whitelist-а, тогде браузер же отправит OPTIONS запрос перед POST-ом? Тогда и CORS подловит, не?
пользователь ничего сам отправлять не будет. Браузер пользователя все сделает за него, потому что на hack.html лежит автоматический скрипт, который запустится при загрузке страницы.
@@nikitasinsobaki да именно скрипт на js. Который сам за тебя нажимает кнопку по отправке формы. И да это стрёмно, но от этого есть защита и она должна быть встроена на сервере.
Спасибо за объяснения. Но не очень понятно, почему после второго запроса (от пользователя к hack.html) произойдет третий запрос (от пользователя к банку) с данными от hack.html. Спасибо
потому что пользователь заходит на этот сайт, после чего код, размещенный на сайте злоумышленника выполняется в браузере пользователя и от пользователя посылается соответствующий запрос к банку
@@slavanslavan9330 но этоже всё-таки кросдоменный запрос. Браузер наверное сделать должен pre-fly запрос и посмотреть заголовки ответа на OPTIONS-запрос, и уже на основании этого делать или не делать запрос POST в соответствии с политикой CORS. Или я чет не понимаю?
Уже только за одни художественные навыки преподавателя можно лайк поставить 😁
А я всегда знал что Патрик из Спанч боба злой хацкер, а мне не верили
Спасибо, очень наглядное объяснение.
Не понял, какими такими данными может быть заполнена форма и как деньги пользователя могут начать переводиться?
спасибо огромное за такое подробное и высококлассное объяснение! наконец-то стало все понятно!!
просто сама рисовала эти схемы и на каких-то моментах всегда сбивалась.. а тут все очень последовательно и подробно!
еще раз огромное спасибо!!!
у меня вопрос:
если на сайте зломышленника со сути выполняется скрипт, воспроизводящий запрос к сайту банка, то чем этот механиз атаки отличается от механизма атаки XSS??
аа, script только сабмитит ссылку..
все, поняла)
извините)
Не объяснили, почему эта форма заполняется автоматически, и почему этот запрос отправляется автоматически
Объяснение хорошее, но неполное
Ништяк
Спасибо за видео. А разве CORS не спасает от этого?
не от всего. от некоторых видов запросов спасает
@@vbashun а если для запросов использовать хедеры не из whitelist-а, тогде браузер же отправит OPTIONS запрос перед POST-ом? Тогда и CORS подловит, не?
Я вот что не понял как злоумышленник сделает так что-бы именно пользователь отправил этот запрос в банк?
пользователь ничего сам отправлять не будет. Браузер пользователя все сделает за него, потому что на hack.html лежит автоматический скрипт, который запустится при загрузке страницы.
@@hodakoov Скрипт на JS? Вообще я имел ввиду разве можно заставить браузер отправлять запросы на левый сервер просто до этого я думал что так нельзя
@@nikitasinsobaki да именно скрипт на js. Который сам за тебя нажимает кнопку по отправке формы. И да это стрёмно, но от этого есть защита и она должна быть встроена на сервере.
@@hodakoov это CORS
@@ВасилийГоловко-д9и корс это про другое. Сам javascript запрос не делает, он лишь сабмитит форму. После чего запрос выполняется на стороне браузера
Спасибо за объяснения.
Но не очень понятно, почему после второго запроса (от пользователя к hack.html) произойдет третий запрос (от пользователя к банку) с данными от hack.html.
Спасибо
потому что пользователь заходит на этот сайт, после чего код, размещенный на сайте злоумышленника выполняется в браузере пользователя и от пользователя посылается соответствующий запрос к банку
@@slavanslavan9330 но этоже всё-таки кросдоменный запрос. Браузер наверное сделать должен pre-fly запрос и посмотреть заголовки ответа на OPTIONS-запрос, и уже на основании этого делать или не делать запрос POST в соответствии с политикой CORS. Или я чет не понимаю?