dubey/WebGoat
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Translated plans from chapter 'Cross-Site scriptiong'

Browse Source 
git-svn-id: http://webgoat.googlecode.com/svn/trunk/webgoat@428 4033779f-a91e-0410-96ef-6bf7bf53c507
This commit is contained in:
white.tiger.russia@gmail.com
2011-05-25 14:01:58 +00:00
parent a66e8d4c78
commit 22a8385c77
10 changed files with 158 additions and 125 deletions
Download Patch File Download Diff File Expand all files Collapse all files

31
src/main/webapp/lesson_plans/ru/DBCrossSiteScripting.html
View File

@ -1,24 +1,21 @@
<div align="Center">
<p><b>Lesson Plan Title:</b> How to Perform Cross Site Scripting
(XSS)</p>
<p><b>Название урока:</b> Как проводить атаки межсайтового скриптинга (XSS)</p>
</div>
<p><b>Concept / Topic To Teach:</b></p>
<p><b>Тема для изучения:</b></p>
<!-- Start Instructions -->
It is always a good practice to scrub all inputs, especially those
inputs that will later be used as parameters to OS commands, scripts,
and database queries. It is particularly important for content that will
be permanently stored somewhere. Users should not be able to create
message content that could cause another user to load an undesirable
page or undesirable content when the user's message is retrieved.
Хорошей практикой всегда считалась очистка всех входящих данных, особенно когда
их содержимое будут использовано в качестве команд ОС, скриптов или запросов к
БД. Это важно и для тех данных, которые будут сохранены где-то
внутри приложения. Посетители не должны иметь возможность публикации на сайте
таких сообщений, которые могут изменять структуру страницы при их просмотре.
<br>
XSS can also occur when unvalidated user input is used in an HTTP
response. In a reflected XSS attack, an attacker can craft a URL with
the attack script and post it to another website, email it, or otherwise
get a victim to click on it.
XSS также может возникнуть когда введённая пользователем информация сразу же,
без всяческих проверок, помещается в HTTP-запрос, но не сохраняется внутри приложения
(отражаемые XSS). В таких случаях нападающий может сформировать URL, содержащий в себе
вредоносный код и передать его жертве(ам) через сторонний веб-сайт, почту или любым другим способом.
<!-- Stop Instructions -->
<p><b>General Goal(s):</b></p>
For this exercise, you will perform a stored XSS attack.
You will also implement code changes in the database to defeat
these attacks.
<p><b>Основные цели:</b></p>
В данном упражнении вы научитесь осуществлять хранимые XSS-атаки.
В конце урока вам необходимо будет внести изменения в код базы данных для того, чтоб предотвратить подобые нападения.
<br>