ممكن المستخدم يكون مسجل دخول في موقعك… ومع ذلك المهاجم يبعت Request من غير ما يعرف.
الثغرة دي اسمها
Cross-Site Request Forgery (CSRF)
وهي واحدة من أشهر ثغرات أمن الويب.
الفكرة ببساطة إن المهاجم يقدر يخلي المتصفح يرسل Request لموقع موثوق مستخدم فيه Session المستخدم نفسه.
يعني ممكن يحصل:
تغيير كلمة المرور
تنفيذ عملية شراء
أو تعديل بيانات المستخدم
كل ده بدون ما المستخدم يقصد يعمل الطلب أصلاً.
في الفيديو الجديد شرحت:
إيه هي CSRF وإزاي الهجوم ده بيحصل
مثال عملي يوضح الفكرة
أهم الطرق اللي نقدر نحمي بيها تطبيقاتنا
ومن أهم طرق الحماية:
استخدام CSRF Tokens
تفعيل SameSite Cookies
التحقق من Origin / Referer
اتباع أفضل ممارسات الأمان في الـ Backend
