OSI model and CSRF-tokens.

Модель OSI и CSRF-token.

Модель OSI.

7 – прикладной уровень – обеспечивает взаимодействие пользовательских приложений с сетью. RDP, HTTP, SMTP, SNMP, POP3, FTP.

6 – уровень представления – обеспечивает преобразование протоколов и кодирование/декодирование данных. ASCII, EBCDIC, JPEG.

5 – Сеансовый уровень – обеспечивает поддержание сеанса связи, позволяя приложениям взаимодействовать между собой длительное время. PPTP (Point-to-Point Tunneling Protocol), RPC (Remote Procedure Call Protocol), RTCP (Real-time Transport Control Protocol), SMPP (Short Message Peer-to-Peer).

4 – Транспортный уровень – предназначен для обеспечения надёжной передачи данных от отправителя к получателю. SCTP (Stream Control Transmission Protocol), SPX (Sequenced Packet Exchange), SST (Structured Stream Transport), TCP (Transmission Control Protocol), UDP (User Datagram Protocol).

3 – Сетевой уровень – предназначен для определения пути передачи данных. Отвечает за трансляцию логических адресов и имён в физические, определение кратчайших маршрутов, коммутацию и маршрутизацию, отслеживание неполадок и «заторов» в сети. IP/IPv4/IPv6 (Internet Protocol), IPX (Internetwork Packet Exchange, протокол межсетевого обмена).

2 – Канальный уровень – предназначен для обеспечения взаимодействия сетей на физическом уровне и контроля за ошибками, которые могут возникнуть. Point-to-Point Protocol (PPP), Point-to-Point Protocol over Ethernet (PPPoE).

1 – Физический уровень – нижний уровень модели, который определяет метод передачи данных, представленных в двоичном виде, от одного устройства (компьютера) к другому. IEEE 802.15 (Bluetooth), IRDA.

CSRF-token.

CSRF (англ. Сross Site Request Forgery — «Межсайтовая подделка запроса», также известен как XSRF) — вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, который не может быть проигнорирован или подделан атакующим скриптом.

Данный тип атак, вопреки распространённому заблуждению, появился достаточно давно: первые теоретические рассуждения появились в 1988 году, а первые уязвимости были обнаружены в 2000 году. A сам термин ввел Peter Watkins в 2001 году.