Инженер из Египта Ясер Али во время исследования работы PayPal обнаружил критическую уязвимость, которая позволила ему полностью обойти используемую сервисом систему защиты от CSRF-атак ([межсайтовая подделка запросов][1]). Эту уязвимость он подробно описал в [своем блоге][2], мы перевели и адаптировали пост с описанием уязвимости. Для успешного проведения атаки такого рода злоумышленнику требуется заставить жертву обманным путем попасть по специально подготовленной ссылке, с помощью которой он сможет создавать запросы от лица жертвы. Атака возможна только если пользователь авторизован на веб-сайте, который подвергается ей. Пост подготовлен специально для корпоративного блога сайта о платежных системах c мониторингом обменников [Web-payment.ru][3]. [Читать дальше →][4]

[1]: https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D0%B0%D1%8F_%D0%BF%D0%BE%D0%B4%D0%B4%D0%B5%D0%BB%D0%BA%D0%B0_%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81%D0%B0
[2]: http://yasserali.com/hacking-paypal-accounts-with-one-click/
[3]: http://web-payment.ru/
[4]: http://habrahabr.ru/post/245445/#habracut