Уязвимость протокола 3DSecure (3DS2) связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить CSRF-атаку через изменение HTTP-заголовков Origin и Referer
Компенсирующие меры:
- использование одноразовых токенов (CSRF-токены);
- уведомлять пользователей о подозрительных действиях и предоставлять возможность подтверждения транзакций через дополнительные каналы (например, SMS или email);
- внедрение CAPTCHA на этапах чувствительных к CSRF-атакам;
-
| Балл | 10 — критическая опасность |