Dynamic CSRF - All your tokens are belong to us

Cross-Site Request Forgery, eller Session Riding som det også kalles er ikke noe nytt. Det ble først diskutert i en melding til Bugtraq i 2001, og er et velkjent problem blant hackere. Løsningen er også enkel, nemmelig bruk av engangs "tokens".

Nå har derimot sikkerhetsgruppen Hexagon Security utgitt en publikasjon som omhandler noe som de kaller dynamisk CSRF, som omgår de vanligste metodene for å beskytte seg mot CSRF.

Publikasjonen kan leses her: http://hexsec.com/docs/Dynamic_CSRF_rev1.pdf/view