CSRF тестирование: создаём вредоносную страницу которая отправляет запрос от имени авторизованного пользователя. Тест: авторизуемся в браузере, открываем другой таб или сторонний сайт, пытаемся выполнить state-changing операцию без CSRF токена. Должен получить 403. Проверяем: CSRF токен присутствует в форме (hidden field), проверяется на сервере, токен уникален для каждой сессии, SameSite=Strict/Lax для cookies. Проверяем: можно ли обойти через XMLHttpRequest без токена.
Как тестировать защиту от CSRF?
Middle
261 просмотровAFK Offer AI
Проведите accessibility audit страницы: что проверите в первую очередь, какими инструментами, как отсортируете findings по приоритету?