Miałem chwilkę czasu i przetestowałem pewną rzecz, która mnie w ostatnich dniach mocno nurtowała.

Kolwalski jest administratorem serwisu. Serwis ten jest np. transakcyjny, pozwala na dodanie przez Kowalskiego określoną liczbę punktów danemu użytkownikowi.
Tworzę na mojej stronie formularz identyczny z formularzem dodającym transakcje w danej aplikacji, uzupełniam jego VALUE w konkretne dane takie jak np. nazwa użytkownika, kwotę transakcji. Umieszczam JS, który automatycznie wyśle formularz po wejściu na stronę. Całą stronę umieszczam w niewidocznym iframe.
Piszę do Kowalskiego aby odwiedził moją podstronę gdzie wcześniej ukryłem iframe. Kowalski wchodzi i formularz zostaje wysłany w iframe. Jeżeli kowalski był zalogowany to dostałem np. 10 000 punktów niespodzianki.

Czy ten rodzaj "ataku" ma jakąś nazwę?
W jaki sposób zabezpieczyć aplikację przez fałszywymi HTTP POST?
W jaki sposób zabezpieczyć się jako administrator, który korzysta z aplikacji, która nie jest odporna na powyższe działanie?

Google: CSRF

Najprostszą i chyba jedną z najbezpieczniejszych jest przy logowaniu zapisanie "id logowania" do sesji i dodawanie w każdym formularzu ukrytego pola z tą informacją, a po odebraniu danych z forma sprawdzenie zgodności liczb. Jeśli chcesz mieć większe bezpieczeństwo generuj przy każdym logowaniu jakiś ciąg np. 32 znaków, czas logowania ustaw na "minimalny" który jest rozsądny. Dla fanatyków można zmieniać ten "klucz" co daną jednostkę czasu lub co x żądań.

Cała metoda będzie bezpieczna do czasu gdy ktoś nie pozna owego klucza, a to do łatwych nie będzie należeć. ;-)

Bardziej ten temat poruszyłem jako użytkownik aniżeli programista.
Na próbę po prostu zaataktowałem sam siebie i nie miałem z tym żadnych problemów...
Skrypt zamknięty i jedyne rowiązanie to liczenie na autorów sysystemu.

W tym momencie jestem ciekaw czy kiedyś byłem faktycznie ofiarą tego ataku - nie zostawia on zbyt wiele śladów..

Lektura obowiązkowa: https://www.owasp.org/index.php/Category:Attack