Şimdiye kadar öğrendiğim kadarıyla, jetonların amacı, bir saldırganın bir form göndermesini önlemektir.
Örneğin, bir web sitesinde alışveriş sepetinize ürün ekleyen bir form varsa ve bir saldırgan, alışveriş sepetinize istemediğiniz öğelerle spam gönderebilirse.
Bu, alışveriş sepeti formu için birden fazla geçerli giriş olabileceği için, saldırganın yapması gereken tek şey web sitesinin sattığı bir öğeyi bilmek.
Bu durumda jetonların nasıl çalıştığını ve güvenlik eklediğini anlıyorum, çünkü kullanıcının sepete eklenen her öğe için formun "Doldur" düğmesine gerçekten doldurduğundan ve bastığından emin oluyorlar.
Bununla birlikte, jetonlar kullanıcı giriş formuna kullanıcı adı ve şifre gerektiren herhangi bir güvenlik ekliyor mu?
Kullanıcı adı ve şifre çok benzersiz olduğu için, saldırganın giriş sahteciliğinin çalışması için her ikisini de bilmesi gerekir (belirteç kurulumunuz olmasa bile) ve bir saldırgan zaten bunu biliyorsa, web sitesinde oturum açabilirdi kendisi. Bahsetmemek gerekirse, kullanıcının kendisini oturum açmasını sağlayan bir CSRF saldırısının hiçbir şekilde pratik bir amacı olmayacaktır.
CSRF saldırıları ve jetonları hakkındaki anlayışım doğru mu? Ve şüpheli olduğum için kullanıcı giriş formları için işe yaramaz mı?