CSRF utok

Podle mě se to za CSRF považovat dá.. nemusí to být nutně pouze zneužití přihlášení, i když je to hlavní věc, proti které je třeba se bránit.

CSRF znamená Cross Site Request Forgery, takže jde o požadavky z jednoho webu na druhý za nějakým nekalým účelem (zneužití přihlášeného uživatele atp). Proti takovým požadavkům se aplikace většinou brání pomocí request tokenů (útočník nemá jak zjistit token pro dané sezení a požadavky bez validního tokenu nejsou zpracovány).

V případě, že aplikace úmyslně přímá takové požadavky (je to její funkce / účel), se o CSRF nejedná.

gavec:
„Dá se za csrf utok povazovat zkopirovani formulare z cizi webové aplikace a následné odeslání formuláře z vlastní webové aplikace?“
Obecně rozhodně ne.
To by například vyhledávací políčko v této diskusi při zaškrtnutí volby „Googlem“ bylo CSRF. Nebo takovýto odkaz.

Na CSRF tam chybí to forgery. Okopírovaný formulář ze stránky obvykle neodesílá podvržená data, ale z pohledu uživatele i stránky očekávaná data vedoucí k uživatelem zamýšlené operaci.
Toto má jiný název, a sice parazitní formuláře. Někdy provozovateli stránky vadí, ale jindy je naopak podporuje (například Google umožňuje používat parazitní formuláře pro jeho vyhledávání).

V některých případech by ale asi bylo možné formulář upravit tak, aby CSRF dělal.

Taky bych to nepovazoval za utok, pokud to k utoku nepouzil (utko by byl treba javascript, ktery to odesila stale dokola).
Nastav si tam podminku cookies a session pro prijmuti dat z formulare.