نوعی از حملات اینترنتی از خانوادهٔ تزریق اسکریپت از طریق وبگاه است. در این نوع از حملات کاربری که در یک نرمافزار کاربردی وب ثبت ورود کردهاست را مجبور به فرستادن یک درخواست به آن نرمافزار تحت وب آسیبپذیر میکنند تا عملی که میخواهند را انجام دهد. برای نمونه اگر کاربری همزمان در حساب رایانامهٔ خود و حساب بانکیاش ثبت ورود کرده باشد، حملهکننده برای کاربر رایانامهای ارسال میکند که بیان میکند اطلاعات بانکی او نیازمند بهروزرسانی از طریق یک پیوند است، با کلیک کردن روی پیوند، بدون اینکه کاربر خودش آگاه باشد و به صورت خودکار درخواستی برای انتقال وجه از یک حساب به حساب دیگر به نرمافزار بانک فرستاده میشود و در اینجا اگر نرمافزار بانک بدون اعتبارسنجی درخواست را پردازش کند متوجه جعلیبودن درخواست نخواهد شد. این روش نفوذ در سالهای اخیر توجه زیادی را به خود جلب کردهاست و به عنوان نوعی حملهٔ ویرانگر اینترنتی شناخته میشود.
باید توجه داشت که جعل درخواست میانوبگاهی برای گرفتن پاسخ کافی نیست و حمله کننده نمیتواند پاسخ نرمافزار وب به درخواست جعلشدهاش را مستقیماً ببیند، حملهکننده مجبور است برای گرفتن پاسخ یک کد SQL را تزریق کند تا بتواند نتیجهٔ دلخواهش را بدست آورد.
