Обращайте внимание, как сайт обрабатывает ввод разных типов. Ищите сайты, которые принимают значения, закодированные в формате URI, и выводят их в декодированном виде.
Сайт Coinbase отфильтровал HTML и вывел обычный текст, из которого мог бы состоять нормальный отзыв. Сохранялась вся введенная информация, за исключением HTML-тегов. Но если пользователь отправлял текст в виде закодированных значений, как показано ниже,
5. Внедрение HTML-элемента и подмена содержимого
Полный захват учетной записи Badoo
При поиске потенциальных уязвимостей CSRF обращайте внимание на GET-запросы, которые изменяют данные на стороне сервера.
Чтобы избежать CSRF, разработчики не используют метод GET для выполнения HTTP-запросов, меняющих данные на сервере (допустимы GET-запросы, выполняющие только чтение). Поэтому фреймворки для создания сайтов, такие как Ruby on Rails, Django и др., включают защиту от CSRF в POST-запросы.
httponly (глава 7) сделает куки недоступным для скриптовых языков.
На сайтах, использующих базовую аутентификацию, заголовок HTTP-запроса похож на: Authorization: Basic QWxhZGRpbjpPcGVuU2VzYW1l. Здесь имя пользователя и пароль разделены двоеточием и закодированы с помощью base64. При декодировании заголовок превращается в Aladdin:OpenSesame.
Межсайтовая подделка запросов