Вопрос: Как защититься от атак с использованием межсайтовой подделки запроса (CSRF) в php?

HighLoad++ 2017.
Тезисы:
http://www.highload.ru/2017/abstracts/2900.html.
Уязвимости Cross-Site Request Forgery (CSRF) являются «классикой» AppSec и хорошо известны как специалистам по безопасности, так и разработчикам веб-приложений. Сегодня, как правило, при разработке веб-приложений уделяется внимание защите от CSRF-атак, и реализуются механизмы защиты. Также относительно новая технология «SameSite cookie», должна еще больше обезопасить веб-приложения от CSRF. На текущий момент CSRF находится на 8 месте в списке OWASP Top-10, в то время как они находились на 5 месте до 2013 года. Означает ли это, что CSRF-уязвимости стали менее актуальными и «уходят в прошлое»?
….
—
Нашли ошибку в видео? Пишите нам на support@ontico.ru

Посетите наш форум http://ifud.ws/.
Модули на видео вы сможете скачать тут http://ifud.ws/threads/video-urok-vzlom-sajtov-na-praktike.9492/

Модуль 15 Взлом сайтов на практике 2015 XSRF Межсайтовая подделка запроса.
Файлы для урока: https://drive.google.com/open?id=0B0ine4re5oy8dEppMFhMWjdjZXc.
CSRF (Cross-Site Request Forgery, также XSRF) – опаснейшая атака, которая приводит к тому, что хакер может выполнить на неподготовленном сайте массу различных действий от имени других, зарегистрированных посетителей.

Вся необходимая информация, ссылки и задания к уроку находятся на странице:
https://php-up.com/lesson/20

Исследуем Межсайтовую Подделку Запроса CSRF.
Продолжение в следующем ролике

#1 Что такое Cross Site Request Forgery (CSRF). Исследование уязвимости | Timcore.
Здравствуйте, дорогие друзья. Рассмотрим межсайтовую подделку запроса, или (CSRF). Это уязвимости позволяют заставлять пользователя делать то, чего он не хочет..
К примеру, возьмем профиль аккаунта Вконтакте, где мы можем делать самые разные манипуляции, начиная со смены аватарки, и завершая сменой пароля и привязки по номеру телефона..
Уязвимость CSRF, использует то, что веб-сайт не проверяет, хочет ли пользователь определить определенное действие. Иными словами, веб-приложение не определяет, что на самом деле делает пользователь..
Если такое наблюдается на нашем сайте, то мы можем создать страничку HTML, для того, чтобы заставить пользователя принудительно выполнить данное действие..
Например, мы можем заставить пользователя изменить пароль, и он даже об этом не узнает..
Более подробнее в видео. Приятного просмотра!
Перечень товаров и услуг:
Создание ботов для автоматизации любых рутинных действий в интернете:
https://vk.com/market-44038255?w=product-44038255_1962392%2Fquery.
Книга «Прохождение CTF Мистер Робот. Практический курс для хакеров.»:
https://vk.com/market-44038255?w=product-44038255_3458322%2Fquery.
Книга «Уязвимость Cross Site Scripting (XSS). Практическое руководство для хакеров.»: https://vk.com/market-44038255?w=product-44038255_3416832%2Fquery.
Книга «Уязвимость SQL-инъекция. Практическое руководство для хакеров.»:
https://vk.com/market-44038255?w=product-44038255_3569904%2Fquery.
Курс «Пентестинг веб приложений + Лаборатория пентестера»:
https://vk.com/hacker_timcore?w=product-44038255_2765605%2Fquery.
Курс по OS Tails | Безопасная операционная система:
https://vk.com/market-44038255?w=product-44038255_2510361%2Fquery.
Курс по языку программирования Язык «С для начинающих»:
https://vk.com/market-44038255?w=product-44038255_2495842%2Fquery.
Книга «YouTube-блог. С нуля до 1000 подписчиков».
https://vk.com/market-44038255?w=product-44038255_2460194%2Fquery.
Аудит безопасности web-сайта:
https://vk.com/market-44038255?w=product-44038255_1514306%2Fquery.
Проект: Школа программирования и этичного хакинга «Timcore»:
Паблик вконтакте:
https://vk.com/school_timcore.
Группа в одноклассниках:
https://ok.ru/group/54972909486296.
Канал в телеграме:
https://t.me/school_timcore.
Студия создания софта Михаила Тарасова:
https://vk.com/programmer_timcore.
Образовательное сообщество для этичных хакеров..
Хакеры | Компьютерный ученый Михаил Тарасов:
https://vk.com/hacker_timcore.
Канал в Telegram:
Этичный хакинг с Михаилом Тарасовым (Timcore):
https://t.me/timcore_hacking.
Timcore в социальных сетях:
Вконтакте: https://vk.com/mikhail_tarasovcom.
Паблик Вконтакте: https://vk.com/hacker_timcore.
Страница в Facebook: https://www.facebook.com/mikhailtarasovcom.
Страница в Одноклассниках: https://ok.ru/group/54237911384280.
Instagram: https://www.instagram.com/mikhail_tarasovcom/.
Поддержи меня подпиской на канал: https://www.youtube.com/HackerTimcore/sub_confirmation=1.
Лайки и подписки приветствуются!
Помощь в развитии канала..
* Яндекс Деньги: 410013208686990