PRESENTATION
-CSRF-
Cross Site Request Forgery - Thuật tấn công giả mạo
TEAM
Hà My
Mạnh Quang
Ánh Ngọc
Hoàng Huy
-CSRF-
1. Khái niệm chung về CSRF
2. Cách hoạt động và ảnh hưởng của CSRF đến bảo mật
3. Cách thức ngăn chặn CSRF
4. Cách giả lập để test CSRF
WHAT IS CSRF?
Khái niệm về Cross Site Request Forgery - Thuật tấn công giả mạo.
WHAT IS CSRF?
- CSRF – Cross site request forgery (CSRF – XSRF), Sea Surf hay là Session Riding: nghĩa là kỹ thuật tấn công giả mạo chính chủ thể của nó.
WHAT IS CSRF?
- Đây là kỹ thuật tấn công bằng cách sử dụng quyền chứng thực của người dùng đối với một website.
- CSRF là kỹ thuật tấn công vào người dùng, mượn quyền trái phép để có thể thực thi những thao tác phải yêu cầu sự chứng thực.
HOW DOES CSRF WORK?
Cách hoạt động của CSRF và ảnh hưởng của CSRF đến bảo mật.
HOW CSRF WORKS?
3 YẾU TỐ THEN CHỐT ĐỂ THỰC HIỆN MỘT CUỘC TẤN CÔNG CSRF
- Hành động liên quan
- Xử lý dựa trên session cookies
- Tham số request có thể đoán được
HOW CSRF WORKS?
HÀNH ĐỘNG LIÊN QUAN
- Đây là các hành động được thực hiện trong ứng dụng mà các hacker có thể sử dụng làm phương tiện để tấn công.
- Chẳng hạn như các hành động đặc quyền (như sửa đổi quyền truy cập) hay các hành động trên dữ liệu của riêng người dùng (thay đổi mật khẩu).
HOW CSRF WORKS?
XỬ LÝ DỰA TRÊN SESSION COOKIES
- Cụ thể, các hacker sẽ đưa ra một hay nhiều HTTP request, và ứng dụng chỉ dựa vào session cookie để xác định người dùng đã thực hiện request.
- Không có cơ chế nào khác để có thể theo dõi session hoặc xác thực user request.
HOW CSRF WORKS?
THAM SỐ REQUEST CÓ THỂ ĐOÁN ĐƯỢC
- Các request thực hiện hành động chứa các tham số mà hacker có thể xác định hay đoán được.
CSRF PROCESS
PROCESS 3
PROCESS 4
PROCESS 2
PROCESS 1
Trang web xác nhận yêu cầu và thực hiện hành động theo yêu cầu của kẻ tấn công mà người dùng không hề hay biết hoặc đồng ý.
Họ sử dụng các kỹ thuật tấn công phi kỹ thuật để thuyết phục nạn nhân nhấp vào liên kết qua email, tin nhắn trò chuyện hoặc hình thức liên lạc tương tự.
Bản thân liên kết độc hại hoặc trang web mà người dùng truy cập sẽ kích hoạt yêu cầu đến trang được nhắm mục tiêu.
Yêu cầu được cho là đến từ người dùng và lợi dụng thực tế là người dùng đã đăng nhập vào trang web.
EXAMPLE
Kẻ tấn công giả mạo yêu cầu chuyển tiền đến trang web
CSRF PROCESS
PROCESS 3
PROCESS 4
PROCESS 2
PROCESS 1
Trang web xác thực các yêu cầu và chuyển tiền từ tài khoản của khách hàng cho kẻ tấn công
Kẻ tấn công giả mạo yêu cầu chuyển tiền đến trang web
Kẻ tấn công gắn yêu cầu vào một liên kết và gửi nó tới những khách có thể đã đăng nhập vào trang web
Người dùng truy cập vào liên kết, vô tình gửi yêu cầu đến trang web
EXAMPLE
CHỨC NĂNG THAY ĐỔI MẬT KHẨU TRÊN TRANG WEB
- Yêu cầu gửi lên server theo phương thức HTTP GET thông thường
- Nội dung gửi lên là password mới và confirm password vừa nhập
EXAMPLE
CHỨC NĂNG THAY ĐỔI MẬT KHẨU TRÊN TRANG WEB
- Người dùng đã đăng nhập trên web của bạn, cookie sẽ được tạo và lưu trữ dưới trình duyệt, khi bạn vào site lần sau bạn không cần phải đăng nhập lại. Giả sử bạn chưa đăng xuất, lúc này cookies của bạn vẫn còn hạn trong phiên làm việc.
EXAMPLE
CHỨC NĂNG THAY ĐỔI MẬT KHẨU TRÊN TRANG WEB
- Lúc này nếu website của bạn mắc lỗi CSRF, người dùng vô tình vào một trang hacker giả mạo với mục đích lấy tài khoản từ ứng dụng web của bạn. Trong trang giả mạo hacker sẽ dùng script để chạy một url để cố ý reset mật khẩu người dùng trên trang của bạn:
https://website-cua-ban.com/vulnerabilities/csrf/?password_new=hacked&password_conf=hacked&Change=Change#
EXAMPLE
CHỨC NĂNG THAY ĐỔI MẬT KHẨU TRÊN TRANG WEB
- Như vậy khi Victim (User) vô tình vào trang web: hacker-gia-mao.com đã reset password của bản thân tại trang website-cua-ban.com. Hacker nếu biết thông tin username sẽ thử vào với password đã cài đặt: hacked và có thể vào một cách bình thường.
HOW CSRF WORKS?
SỰ ẢNH HƯỞNG CỦA CSRF ĐẾN BẢO MẬT
- Có thể gây ra những mối nguy hiểm lớn do việc tấn công giả mạo người dùng cuối nhằm đánh cắp thông tin đăng nhập, có thể gây ra thiệt hại vì bị chiếm đoạt tài khoản người dùng, mất tiền trong tài khoản do việc điều chuyển thông tin địa chỉ nhận tiền sang tài khoản của Hacker.
HOW TO PREVENT CSRF?
Cách thức ngăn chặn CSRF
HOW TO PREVENT CSRF?
Dựa trên nguyên tắc của CSRF "lừa trình duyệt của người dùng (hoặc người dùng) gửi các câu lệnh HTTP", các kĩ thuật phòng tránh sẽ tập trung vào việc tìm cách phân biệt và hạn chế các câu lệnh giả mạo.
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
- Kiểm tra xem framework của bạn có bảo vệ CSRF tích hợp hay không và sử dụng nó
- Nếu framework không có tính năng bảo vệ CSRF tích hợp, hãy thêm mã thông báo CSRF vào tất cả các yêu cầu thay đổi trạng thái (các yêu cầu gây ra hành động trên trang web) và xác thực chúng trên phần phụ trợ
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
- Kiểm tra xem framework của bạn có bảo vệ CSRF tích hợp hay không và sử dụng nó
- Đối với phần mềm có trạng thái, hãy sử dụng mẫu thông báo đồng bộ hóa
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
- Kiểm tra xem framework của bạn có bảo vệ CSRF tích hợp hay không và sử dụng nó
- Đối với phần mềm có trạng thái, hãy sử dụng mẫu thông báo đồng bộ hóa
- Đối với phần mềm không trạng thái, hãy sử dụng gửi cookie kép
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
- Kiểm tra xem framework của bạn có bảo vệ CSRF tích hợp hay không và sử dụng nó
- Đối với phần mềm có trạng thái, hãy sử dụng mẫu thông báo đồng bộ hóa
- Đối với phần mềm không trạng thái, hãy sử dụng gửi cookie kép
- Thực hiện ít nhất một biện pháp giảm thiểu từ việc Bảo vệ giảm thiểu sâu
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
4. Thực hiện ít nhất một biện pháp giảm thiểu từ việc Bảo vệ giảm thiểu sâu
- Xem xét Thuộc tính cookie SameSite cho cookie phiên nhưng hãy cẩn thận KHÔNG đặt cookie cụ thể cho một miền vì điều đó sẽ gây ra lỗ hổng bảo mật mà tất cả các miền phụ của miền đó đều chia sẻ cookie. Đây đặc biệt là một vấn đề khi tên miền phụ có CNAME đối với các tên miền không nằm trong tầm kiểm soát của bạn
- Xem xét triển khai bảo vệ dựa trên tương tác của người dùng cho các hoạt động có độ nhạy cao
- Xem xét việc sử dụng các tiêu đề yêu cầu tùy chỉnh
- Cân nhắc xác minh nguồn gốc bằng các tiêu đề tiêu chuẩn
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
- Kiểm tra xem framework của bạn có bảo vệ CSRF tích hợp hay không và sử dụng nó
- Đối với phần mềm có trạng thái, hãy sử dụng mẫu thông báo đồng bộ hóa
- Đối với phần mềm không trạng thái, hãy sử dụng gửi cookie kép
- Thực hiện ít nhất một biện pháp giảm thiểu từ việc Bảo vệ giảm thiểu sâu
- Hãy nhớ rằng bất kỳ Cross-Site Scripting (XSS) nào cũng có thể được sử dụng để đánh bại tất cả các kỹ thuật giảm thiểu CSRF!
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
5. Hãy nhớ rằng bất kỳ Cross-Site Scripting (XSS) nào cũng có thể được sử dụng để đánh bại tất cả các kỹ thuật giảm thiểu CSRF!
- Xem Bảng thủ thuật ngăn chặn XSS của OWASP để biết hướng dẫn chi tiết về cách ngăn chặn các lỗ hổng XSS
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
- Kiểm tra xem framework của bạn có bảo vệ CSRF tích hợp hay không và sử dụng nó
- Đối với phần mềm có trạng thái, hãy sử dụng mẫu thông báo đồng bộ hóa
- Đối với phần mềm không trạng thái, hãy sử dụng gửi cookie kép
- Thực hiện ít nhất một biện pháp giảm thiểu từ việc Bảo vệ giảm thiểu sâu
- Hãy nhớ rằng bất kỳ Cross-Site Scripting (XSS) nào cũng có thể được sử dụng để đánh bại tất cả các kỹ thuật giảm thiểu CSRF!
- Không sử dụng các yêu cầu GET cho các hoạt động thay đổi trạng thái
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
6. Không sử dụng các yêu cầu GET cho các hoạt động thay đổi trạng thái
- Nếu vì bất kỳ lý do gì sử dụng GET cho các hoạt động thay đổi trạng thái, hãy bảo vệ các tài nguyên đó khỏi CSRF
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
6. Không sử dụng các yêu cầu GET cho các hoạt động thay đổi trạng thái
- Nếu vì bất kỳ lý do gì sử dụng GET cho các hoạt động thay đổi trạng thái, hãy bảo vệ các tài nguyên đó khỏi CSRF
HOW TO PREVENT CSRF?
CÁC KỸ THUẬT NGĂN CHẶN CUỘC TẤN CÔNG CSRF
1. Về phía User
- Nên thoát khỏi các website quan trọng: Tài khoản ngân hàng, thanh toán trực tuyến, các mạng xã hội, gmail, yahoo… khi đã thực hiện xong giao dịch hay các công việc cần làm. (Check - email, checkin…)
- Không nên click vào các đường dẫn mà bạn nhận được qua email, mạng xã hội, tin nhắn,...
- Không lưu các thông tin về mật khẩu tại trình duyệt của mình (không nên chọn các phương thức "đăng nhập lần sau", "lưu mật khẩu" …
- Trong quá trình thực hiện giao dịch hay vào các website quan trọng không nên vào các website khác, có thể chứa các mã khai thác của kẻ tấn công.
HOW TO PREVENT CSRF?
CÁC KỸ THUẬT NGĂN CHẶN CUỘC TẤN CÔNG CSRF
2. Về phía Server
- Sử dụng GET và POST đúng cách. Dùng GET nếu thao tác là truy vấn dữ liệu. Dùng POST nếu các thao tác tạo ra sự thay đổi hệ thống
- Sử dụng captcha, các thông báo xác nhận
- Sử dụng token. Tạo ra một token tương ứng với mỗi form, token này sẽ là duy nhất đối với mỗi form và thường thì hàm tạo ra token này sẽ nhận đối số là "SESSION" hoặc được lưu thông tin trong SESSION
- Sử dụng cookie riêng biệt cho trang quản trị
- Kiểm tra IP: Một số hệ thống quan trọng chỉ cho truy cập từ những IP được thiết lập sẵn
DEMO TESTCSRF
Cách hoạt động của CSRF và ảnh hưởng của CSRF đến bảo mật.
DEMO TEST CSRF
Cách xây dựng một cuộc tấn công CSRF
- Các ứng dụng web hoạt động theo cơ chế nhận các câu lệnh HTTP từ người sử dụng, sau đó thực thi các câu lệnh này.
- Hacker sử dụng phương pháp CSRF để lừa trình duyệt của người dùng gửi đi các câu lệnh http đến các ứng dụng web.
- Điều đó có thể thực hiện bằng cách chèn mã độc hay link đến trang web mà người dùng đã được chứng thực.
- Trong trường hợp phiên làm việc của người dùng chưa hết hiệu lực thì các câu lệnh trên sẽ được thực hiện với quyền chứng thực của người sử dụng.
EXAMPLE
Ví dụ về 1 cuộc tấn công CSRF
- Người dùng Alie truy cập 1 diễn đàn yêu thích của mình như thường lệ. Một người dùng khác, Bob đăng tải 1 thông điệp lên diễn đàn. Giả sử rằng Bob có ý đồ không tốt và anh ta muốn xóa đi một dự án quan trọng nào đó mà Alice đang làm.
EXAMPLE
Ví dụ về 1 cuộc tấn công CSRF
- Bob sẽ tạo 1 bài viết, trong đó có chèn thêm 1 đoạn code như sau:
<img height="0" width="0" src="http://www.webapp.com/project/1/destroy">
EXAMPLE
Ví dụ về 1 cuộc tấn công CSRF
- Để tăng hiệu quả che dấu, đoạn mã trên có thể được thêm các thông điệp bình thường để người dùng không chú ý. Thêm vào đó thẻ img sử dụng trong trường hợp này có kích thước OxO pixel và người dùng sẽ không thể thấy được.
EXAMPLE
Ví dụ về 1 cuộc tấn công CSRF
- Giả sử Alie đang truy cập vào tài khoản của mình ở www.webapp.com và chưa thực hiện logout để kết thúc. Bằng việc xem bài post, trình duyệt của Alice sẽ đọc thẻ img và cố gắng load ảnh từ www.webapp.com, do đó sẽ gửi câu lệnh xóa đến địa chỉ này.
EXAMPLE
Ví dụ về 1 cuộc tấn công CSRF
- Ứng dụng web ở www.webapp.com sẽ chứng thực Alice và sẽ xóa project với ID là 1. Nó sẽ trả về trang kết quả mà không phải là ảnh, do đó trình duyệt sẽ không hiển thị ảnh.
EXAMPLE
Ví dụ về 1 cuộc tấn công CSRF
- Ngoài thẻ img, các thẻ html có thể sử dụng kĩ thuật trên có thể là:
<iframe height="0" width="0" src="http://www.webapp.com/project/1/destroy">
<link ref="stylesheet" href="http://www.webapp.com/project/1/destroy" type="text/css"/>
<bgsound src="http://www.webapp.com/project/1/destroy"/>
<background src="http://www.webapp.com/project/1/destroy"/>
<script type="text/javascript" src="http://www.webapp.com/project/1/destroy"/>
DEMO TEST CSRF
Cách xây dựng một cuộc tấn công CSRF
- Các kĩ thuật CSRF rất đa dạng, lừa người dùng click vào link, gửi email chứa các đoạn mã độc đến người dùng… Hacker còn có thể che giấu các link ở trên rất khéo léo. Ví dụ trong trường hợp thẻ img, người dùng có thể nhận ra nếu vào đường link chứa trong
<img src="http://www.webapp.com/project/1/destroy"/>
DEMO TEST CSRF
Cách xây dựng một cuộc tấn công CSRF
- Tuy nhiên, người dùng sẽ dễ phát hiện nếu hacker dùng đường link như sau:
<img height="0" width="0" src="http://www.ahackersite.com/abc.jpg"/>
và cấu hình tại máy chủ:
Redirect 302/abc.jpg http://www.webapp.com/project/1/destroy"/>
THANKS!
CSRF PRESENTATION
My Do Thi Ha
Created on March 26, 2023
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Practical Presentation
View
Smart Presentation
View
Essential Presentation
View
Akihabara Presentation
View
Pastel Color Presentation
View
Nature Presentation
View
Higher Education Presentation
Explore all templates
Transcript
PRESENTATION
-CSRF-
Cross Site Request Forgery - Thuật tấn công giả mạo
TEAM
Hà My
Mạnh Quang
Ánh Ngọc
Hoàng Huy
-CSRF-
1. Khái niệm chung về CSRF
2. Cách hoạt động và ảnh hưởng của CSRF đến bảo mật
3. Cách thức ngăn chặn CSRF
4. Cách giả lập để test CSRF
WHAT IS CSRF?
Khái niệm về Cross Site Request Forgery - Thuật tấn công giả mạo.
WHAT IS CSRF?
WHAT IS CSRF?
HOW DOES CSRF WORK?
Cách hoạt động của CSRF và ảnh hưởng của CSRF đến bảo mật.
HOW CSRF WORKS?
3 YẾU TỐ THEN CHỐT ĐỂ THỰC HIỆN MỘT CUỘC TẤN CÔNG CSRF
HOW CSRF WORKS?
HÀNH ĐỘNG LIÊN QUAN
HOW CSRF WORKS?
XỬ LÝ DỰA TRÊN SESSION COOKIES
HOW CSRF WORKS?
THAM SỐ REQUEST CÓ THỂ ĐOÁN ĐƯỢC
CSRF PROCESS
PROCESS 3
PROCESS 4
PROCESS 2
PROCESS 1
Trang web xác nhận yêu cầu và thực hiện hành động theo yêu cầu của kẻ tấn công mà người dùng không hề hay biết hoặc đồng ý.
Họ sử dụng các kỹ thuật tấn công phi kỹ thuật để thuyết phục nạn nhân nhấp vào liên kết qua email, tin nhắn trò chuyện hoặc hình thức liên lạc tương tự.
Bản thân liên kết độc hại hoặc trang web mà người dùng truy cập sẽ kích hoạt yêu cầu đến trang được nhắm mục tiêu.
Yêu cầu được cho là đến từ người dùng và lợi dụng thực tế là người dùng đã đăng nhập vào trang web.
EXAMPLE
Kẻ tấn công giả mạo yêu cầu chuyển tiền đến trang web
CSRF PROCESS
PROCESS 3
PROCESS 4
PROCESS 2
PROCESS 1
Trang web xác thực các yêu cầu và chuyển tiền từ tài khoản của khách hàng cho kẻ tấn công
Kẻ tấn công giả mạo yêu cầu chuyển tiền đến trang web
Kẻ tấn công gắn yêu cầu vào một liên kết và gửi nó tới những khách có thể đã đăng nhập vào trang web
Người dùng truy cập vào liên kết, vô tình gửi yêu cầu đến trang web
EXAMPLE
CHỨC NĂNG THAY ĐỔI MẬT KHẨU TRÊN TRANG WEB
EXAMPLE
CHỨC NĂNG THAY ĐỔI MẬT KHẨU TRÊN TRANG WEB
EXAMPLE
CHỨC NĂNG THAY ĐỔI MẬT KHẨU TRÊN TRANG WEB
https://website-cua-ban.com/vulnerabilities/csrf/?password_new=hacked&password_conf=hacked&Change=Change#
EXAMPLE
CHỨC NĂNG THAY ĐỔI MẬT KHẨU TRÊN TRANG WEB
HOW CSRF WORKS?
SỰ ẢNH HƯỞNG CỦA CSRF ĐẾN BẢO MẬT
HOW TO PREVENT CSRF?
Cách thức ngăn chặn CSRF
HOW TO PREVENT CSRF?
Dựa trên nguyên tắc của CSRF "lừa trình duyệt của người dùng (hoặc người dùng) gửi các câu lệnh HTTP", các kĩ thuật phòng tránh sẽ tập trung vào việc tìm cách phân biệt và hạn chế các câu lệnh giả mạo.
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
4. Thực hiện ít nhất một biện pháp giảm thiểu từ việc Bảo vệ giảm thiểu sâu
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
5. Hãy nhớ rằng bất kỳ Cross-Site Scripting (XSS) nào cũng có thể được sử dụng để đánh bại tất cả các kỹ thuật giảm thiểu CSRF!
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
6. Không sử dụng các yêu cầu GET cho các hoạt động thay đổi trạng thái
HOW TO PREVENT CSRF?
Theo OWSAP cần tuân thủ 6 nguyên tắc sau để chống lại CSRF:
6. Không sử dụng các yêu cầu GET cho các hoạt động thay đổi trạng thái
HOW TO PREVENT CSRF?
CÁC KỸ THUẬT NGĂN CHẶN CUỘC TẤN CÔNG CSRF
1. Về phía User
HOW TO PREVENT CSRF?
CÁC KỸ THUẬT NGĂN CHẶN CUỘC TẤN CÔNG CSRF
2. Về phía Server
DEMO TESTCSRF
Cách hoạt động của CSRF và ảnh hưởng của CSRF đến bảo mật.
DEMO TEST CSRF
Cách xây dựng một cuộc tấn công CSRF
EXAMPLE
Ví dụ về 1 cuộc tấn công CSRF
EXAMPLE
Ví dụ về 1 cuộc tấn công CSRF
<img height="0" width="0" src="http://www.webapp.com/project/1/destroy">
EXAMPLE
Ví dụ về 1 cuộc tấn công CSRF
EXAMPLE
Ví dụ về 1 cuộc tấn công CSRF
EXAMPLE
Ví dụ về 1 cuộc tấn công CSRF
EXAMPLE
Ví dụ về 1 cuộc tấn công CSRF
<iframe height="0" width="0" src="http://www.webapp.com/project/1/destroy">
<link ref="stylesheet" href="http://www.webapp.com/project/1/destroy" type="text/css"/>
<bgsound src="http://www.webapp.com/project/1/destroy"/>
<background src="http://www.webapp.com/project/1/destroy"/>
<script type="text/javascript" src="http://www.webapp.com/project/1/destroy"/>
DEMO TEST CSRF
Cách xây dựng một cuộc tấn công CSRF
<img src="http://www.webapp.com/project/1/destroy"/>
DEMO TEST CSRF
Cách xây dựng một cuộc tấn công CSRF
<img height="0" width="0" src="http://www.ahackersite.com/abc.jpg"/>
và cấu hình tại máy chủ:
Redirect 302/abc.jpg http://www.webapp.com/project/1/destroy"/>
THANKS!