diff --git a/src/main/webapp/lesson_plans/ru/SessionFixation.html b/src/main/webapp/lesson_plans/ru/SessionFixation.html index c7e70f3aa..4d70c976e 100644 --- a/src/main/webapp/lesson_plans/ru/SessionFixation.html +++ b/src/main/webapp/lesson_plans/ru/SessionFixation.html @@ -1,33 +1,31 @@
-

Lesson Plan Title: Session Fixation

+

Название урока: Закрепление сессии

-

Concept / Topic To Teach:

-How to steal a session with a 'Session Fixation' +

Тема для изучения:

+Использование атак класса 'Закрепление сессии'

-How the attacks works: +Как работает данный вид атак:

-A user is recognized by the server by an unique Session ID. If a -user has logged in and is authorized he does not have to -reauthorize when he revisits the application as the user is recognized -by the Session ID. In some applications it is possible to deliver -the Session ID in the Get-Request. Here is where the attack starts. +Сервер может опознать конкретного пользователя по уникальному идентификатору сессии. +Это позволяет клиентам проходить поцедуру авторизации всего 1 раз, а затем уже обращаться к +приложению как авторизированное лицо. В некоторых приложениях идентификатор сессии +передаётся в ссылках, в качестве одного из параметров GET-запроса. Здесь и начинаются главные проблемы.

-An attacker can send a hyperlink to a victim with a chosen Session ID. -This can be done for example by a prepared mail which looks like an -official mail from the application administrator. -If the victim clicks on the link and logs in he is authorized -by the Session ID the attacker has chosen. The attacker -can visit the page with the same ID and is recognized as the victim and -gets logged in without authorization. +Атакующий может послать жертве гипер-ссылку содеращую в себе любой +идентификатор сессии. Это может быть сделано, например, через почтовое +сообщение, которое выглядит как обращение администрации сайта. +Когда жертва, кликнув по ней, попадёт на сайт и пройдёт авторизацию, то идентификатор сессии, выбранный +злоумышленником, станет идентификатором авторизованного пользователя-жертвы. +Атакующий может пройти по любой ссылке передав серверу этот же идентификатор, +и сможет действовать от чужого имени.
-

General Goal(s):

+

Основные цели и задачи:

-This lesson has several stages. You play the attacker but also the victim. -After having done this lesson it should be understood how -a Session Fixation in general works. It should be also understood that -it is a bad idea to use the Get-Request for Session IDs. +Урок имеет несколько стадий. Вы играете роль и атакующего и жертвы. +К концу урока вы поймёте что передача идентификаторов сессий в ссылках +является очень плохой практикой. diff --git a/src/main/webapp/lesson_plans/ru/WeakAuthenticationCookie.html b/src/main/webapp/lesson_plans/ru/WeakAuthenticationCookie.html index 9c9b86c8a..fb97ecbed 100644 --- a/src/main/webapp/lesson_plans/ru/WeakAuthenticationCookie.html +++ b/src/main/webapp/lesson_plans/ru/WeakAuthenticationCookie.html @@ -1,12 +1,19 @@
-

Lesson Plan Title: How to Spoof an Authentication Cookie

+

Название урока: How to Spoof an Authentication Cookie

-

Concept / Topic To Teach:

- -Many applications will automatically log a user into their site if the right authentication cookie is specified.   Some times the cookie values can be guessed if the algorithm for generating the cookie can be obtained.  Some times the cookies are left on the client machine and can be stolen by exploiting another system vulnerability.  Some times the cookies maybe intercepted using Cross site scripting.  This lesson tries to make the student aware of authentication cookies and presents the student with a way to defeat the cookie authentication method in this lesson.
-

General Goal(s):

+

Тема для изучения:

+Многие сайты автоматически аутентифицируют пользователя если он имеет особые cookies. +Иногда содержимое таких cookies может быть угадано если злоумышленник вычислил алгоритм их генерации. +В других случаях cookies могут быть перехвачены, украдены через уязвимости в приложении (например через XSS) +или системе пользователя. На этом уроке вы ознакомитесь с использованием таких cookies и +попытаетесь обойти систему аутентификации основанную на них. +
+

Основные цели и задачи:

- The user should be able to bypass the authentication check. -Login using the webgoat/webgoat account to see what happens. You may also try aspect/aspect. When you understand the authentication cookie, try changing your identity to alice. +Пользователь должен обойти механизм проверки аутентификации. +Войдите под аккаунтом webgoat/webgoat и посмотрите что получится. +Вы также можете попробовать данные aspect/aspect. Как только вы поймёте +как можно аутентифицироваться под другими именами, попробуйте войти под +логином alice. \ No newline at end of file diff --git a/src/main/webapp/lesson_plans/ru/WeakSessionID.html b/src/main/webapp/lesson_plans/ru/WeakSessionID.html index 45157e0b5..0711706f6 100644 --- a/src/main/webapp/lesson_plans/ru/WeakSessionID.html +++ b/src/main/webapp/lesson_plans/ru/WeakSessionID.html @@ -1,9 +1,12 @@
-

Lesson Plan Title: How to Hijack a Session

+

Название урока: Похищение сессии

-

Concept / Topic To Teach:

+

Тема для изучения:

-Application developers who develop their own session IDs frequently forget to incorporate the complexity and randomness necessary for security. If the user specific session ID is not complex and random, then the application is highly susceptible to session-based brute force attacks. -

General Goal(s):

-Try to access an authenticated session belonging to someone else. +Разработчики приложений, создающие свои механизмы работы с сессиями, иногда +забывают о том что идентификаторы сессий должны генерироваться случайным образом +и иметь достаточную длинну. Иначе они могут быть банально подобраны злоумышленником +методом грубой силы (brute force). +

Основные цели:

+Попробуйте подобрать идентификатор рабочей сессии принадлежащей другому пользователю. \ No newline at end of file