В последнее время в сообществе специалистов по безопасности Web-приложений широко обсуждается «новый» тип уязвимостей, получивший название Cross-Site Request Forgery (CSRF или XSRF). Предлагаемая вниманию читателя статья содержит описание этого типа уязвимостей, методов его использования и основные походы к защите. Общепринятый русский термин для обозначения Cross-Site Request Forgery ещё не устоялся, в связи с чем автор предлагает использовать вариант «Подделка HTTP-запросов».
Многим известен популярный сайт для программистов stackoverflow.com, созданный Джоелем Спольски и его компанией. Сегодня объявлено о запуске serverfault.com/ аналога stackoverflow, но для системных администраторов с соответствующими тематиками.
Напомню, что данные ресурсы позволяют создавать записи с тематическими вопросами, на которые множество специалистов пишут свои ответы. В наличии множество социальных и вебдванольных фишек: от оценок и рейтингов до званий в виде badges.
