Popis:Při průchodu historií si správně nastavená aplikace prostřednictvím webového prohlížeče vždy ze serveru vyžádá aktuální data. V případě POST požadavků prohlížeč pro jistotu zobrazí zprávu o expiraci obsahu stránky a dá uživateli možnost odeslat původní POST požadavek opakovaně.
Útočník, který se dostane k prohlížeči, na kterém se před ním přihlašoval k webové aplikaci někdo jiný, může přejít v historii až k akci tohoto přihlášení. Pokud je aplikace zranitelná, bude možné odeslat opakovaně původní POST požadavek a přihlásit se tak na cizí účet. Při odesílání požadavku je možné také zobrazit v prohlížeči obsah odesílaných parametrů, tedy cizí přihlašovací údaje.
Útok Back & Refresh Replay Attack se ovšem netýká pouze přihlašovacích formulářů. Postižitelné mohou být všechny stránky, které odesílají důvěrná data, například registrace. Během testování je nutné otestovat tento typ útoku u všech takových formulářů.
