Starpvietņu pieprasījumu viltošana (CSRF)

Tā kā tiek pieņemts, ka Alise (lietotājs alice), izmantojot uzbrukumam paredzēto lapu http://www.csrflabattacker.com/, vēlas izmainīt Boba (lietotāja bob) profilu, tad 1. attēlā redzamajā administratīvajā saskarnē veic Alises un Boba kontu rediģēšana, nomainot šiem lietotājiem piekļuves paroli, attiecīgi: alice / alice un bob / bob. Lai gan šķiet, ka jau pēc noklusējuma, lietotāju piekļuves segvārds (username) ir vienāds ar paroles lauka vērtību. Jāpiebilst,
ka arī šīs aprakstītās darbības iekļaujamas praktiskā darba sagatavošanās procesā, pirms CSRF uzbrukuma veikšanas, lai testēšanas nolūkos nodrošinātu piekļuvi abiem lietotāju kontiem un tālākajā darba izpildes laikā pēc iespējas vairāk izvairītos no administratora konta izmantošanas.
Reālas informācijas sistēmas un CSRF uzbrukuma gadījumā katram lietotājam (Alisei un Bobam) pietiktu zināt tikai un vienīgi savus piekļuves datus sistēmai.
Pievēršoties pašam starpvietņu uzbrukumam, lai Alise varētu veiksmīgi modificēt Collabtive sistēmas Boba lietotāja profila informāciju, viņai uzbrukumam paredzētajā lapā (http://www.csrflabattacker.com/) jāspēj viltot POST pieprasījums, kas tiek nosūtīts ievainojamajā vietnē (http://www.csrflabcollabtive.com/) brīdī, kad tiek veikta lietotāja profila datu rediģēšana. Šo
nezināmo informāciju, POST pieprasījuma struktūru, Alise var uzzināt pavisam vienkārši – ieejot sistēmā ar saviem pieteikšanās datiem (alice / alice) un sadaļā My account → Edit veicot
savu profila datu modificēšanu.…