Translated chapter 'AJAX Security'

Fixed small error in Http Basics lesson git-svn-id: http://webgoat.googlecode.com/svn/trunk@425 4033779f-a91e-0410-96ef-6bf7bf53c507
2011-05-23 14:58:39 +00:00
parent e322906489
commit 2c8648d7ed
10 changed files with 108 additions and 101 deletions
--- a/webgoat/src/main/webapp/lesson_plans/ru/SilentTransactions.html
+++ b/webgoat/src/main/webapp/lesson_plans/ru/SilentTransactions.html
@ -1,24 +1,27 @@
 <div align="Center"> 
-<p><b>Lesson Plan Title:</b> How to Perform Silent Transactions Attacks. </p>
+<p><b>Название урока:</b> Атаки связанные со скрытыми операциями. </p>
 </div>
 
-<p><b>Concept / Topic To Teach:</b> </p>
-This lesson teaches how to perform silent transactions attacks.
+<p><b>Тема для изучения:</b> </p>
+На данном уроке вы поймёте как осуществляются атаки связанные со скрытыми операциями.
 <br> 
 <div align="Left"> 
 <p>
-<b>How the attacks works:</b>
+<b>Как работают атаки такого рода:</b>
 </p>
-Any system that silently processes transactions using a single submission is dangerous to the client. 
-For example, if a normal web application allows a simple URL submission, a preset session attack will 
-allow the attacker to complete a transaction without the user<65>s authorization. 
-In Ajax, it gets worse: the transaction is silent; it happens with no user feedback on the page, 
-so an injected attack script may be able to steal money from the client without authorization.<br>
+Некоторые приложения производят манипуляции с чувствительными пользовательскими данными (например с деньгами)
+в скрытом виде если получат разрешение на это хотя бы один раз. Это таит множество опасностей.
+Например, в простом веб-приложении для того чтоб от имени клиента обратиться к любому URL необходимо
+получить его идентификатор сессии (или другие данные, которые обеспечат необходимую идентификацию).
+В случае с AJAX всё намного проще: обращение к серверу может происходить в скрытом режиме без оповещения об этом пользователя.
+Следовательно, внедрённый каким-либо образом в такую страницу вредоносный скрипт может осуществлять важные
+операции совершенно незаметно для клиента. Например переводить его деньги со счёта на счёт.<br>
 </div>
-<p><b>General Goal(s):</b> </p>
+<p><b>Основные цели и задачи:</b> </p>
 <!-- Start Instructions -->
-* This is a sample internet banking application - money transfer page.<br>
-* It shows below your balance, the account you are transferring to and amount you will transfer.<br>
-* The application uses AJAX to submit the transaction after doing some basic client side validations.<br>
-* Your goal is to try to bypass the user's authorization and silently execute the transaction.<br>
+* Это простейшее приложение интернет-банкинга - страница перевода денег.<br>
+* Здесь отображается сумма находящаяся на балансе, поле для ввода аккаунта, которому деньги будут переведены, и поле
+для суммы перевода.<br>
+* Приложение использует AJAX для отправки транзакции после проведения элементарной проверки данных на клиентской стороне.<br>
+* Ваша цель - попробовать осуществить от имени пользователя денежный перевод в скрытом виде.<br>
 <!-- Stop Instructions -->