Может я туплю, но вроде же кросс домен запросы (и куки) давным-давно запретили. И если специальных действий не предпринимать (если сайт Сбера специально на своем сайте не выставил, что разрешает кросс домен запросы на сайт хакера), то фиг что у хакеров получится.
CORS имеет весьма посредственное отношение к XSRF. XSRF - оно про возможность выполнять действия от имени жертвы на ресурсе где жертва "аутентифицирована", например если начинать с азов, то вот такой вот серверный код:
1.
2.
3.
4.
5.
6.
7.
8.
@Autowired
DataSource dataSource;
public void sql(@RequestParam("sql") String sql) {
try (Connection connection = dataSource.getConnection()) {
connection.prepareStatement(sql).execute();
}
}
в самом простом случае позволяет атакующему подсовывать жертве ссылки вида
http://victim.resource/api?query=..., что в свою очередь позволит атакующему осуществлять какие-то манипуляции с БД (можно пользователя себе создать, можно права выдать, в конце концов можно тупо все разломать). Подсовывать можно разными способами: кинуть в почту под видом картинки (т.е. в img обернуть), в мессенжер, разместить на другом ресурсе, куда жертва любит ходить и пр., вот пример XSRF на скуле:
6874052 - очевидно, что в данном случае CORS вообще здесь никаким боком. Кто-то может сказать что "для защиты" нужно использовать POST вместо GET, и тогда все будет пучком, но будет неправ - атакующий может на своем ресурсе нарисовать форму "жмякни кнопку и выйграй мильен" и эта форма будет отправлять данные "куда нужно" - вот здесь можно хоть как-то притянуть за уши CORS, который запретит автоматически самбитить такую форму из JS, но если форму нарисовать покрасивее и денег пообещать побольше, то никто не гарантирует что жертва-таки не нажмет кнопку - по факту CORS снимает одно очко в CVSSv3 за счет User Interaction: Required. Общая же концепция защиты заключается в том, что мы при обработке запроса должны проверять, что ранее мы сами показали пользователю нечто, что может приводить к выполнению текущего запроса, самым элементарным вариантом здесь является проверка Referrer - даже на клиенте ничего городить не нужно, все сделает браузер, но защита на Referrer считается такой себе.
