dubey/WebGoat
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Restructured the baseline to remove extra src/main directory structure. Added eclipes project file

Browse Source 
git-svn-id: http://webgoat.googlecode.com/svn/branches/webgoat-6.0@485 4033779f-a91e-0410-96ef-6bf7bf53c507
This commit is contained in:
mayhew64@gmail.com
2012-11-19 23:57:51 +00:00
parent fb938e0933
commit 6a96547ef0
1204 changed files with 85 additions and 2 deletions
Download Patch File Download Diff File Expand all files Collapse all files

40
webapp/lesson_plans/ru/CSRF.html Normal file
View File

@ -0,0 +1,40 @@
<div align="Center">
<p><b>Название урока:</b> Проведение атак межсайтовой подделки запросов. </p>
</div>
<p><b>Тема для изучения:</b> </p>
На данном уроке вы научитесь использовать уязвимости межсайтовой подделки запросов (CSRF).
<br>
<div align="Left">
<p>
<b>Как работает данный тип атак:</b>
</p>
При проведении атак межсайтовой подделки запросов жертву заставляют каким-либо образом
загрузить страницу содержащую опасную картинку, типа той что представлена ниже:
<pre>&lt;img src="<a href="http://www.mybank.com/transferFunds.do?acctId=123456" class='external free' title="http://www.mybank.com/transferFunds.do?acctId=123456" rel="nofollow">http://www.mybank.com/sendFunds.do?acctId=123456</a>"/&gt;</pre>
Когда браузер жертвы обрабатывает такую страницу, он автоматически совершает обращение
к сайту www.mybank.com, к скрипту transferFunds.do передавая необходимый злоумышленнику параметр.
Браузер будет думать что это простое изображение, тогда как на самом деле обращение к этому
адресу вызовет перевод денег.
Вместе с запросом, уходящим на сайт банка, будут переданы и cookies клиента. Следовательно,
если в этот момент пользователь будет авторизирован на www.mybank.com, и в его cookies будет хранится
идентификатор активной сессии, скрипт transferFunds.do примет этот запрос за легитимный и
совершит необходимую злоумышленнику операцию.
Таким образом, атакующий может производить практически все действия, которые способен делать
настоящий пользователь.
</div>
<p><b>Основные цели и задачи:</b> </p>
<!-- Start Instructions -->
Ваша цель - послать в новостную группу письмо, содержащее в себе изображение со
специально сформированным адресом. Картинка должна иметь размер 1*1px и производить
CSRF-атаку, заставляя браузер обращаться к текущей странице, но с дополнительным параметром
в URL - "transferFunds=4000". Когда вы отошлёте сообщение и оно отобразится на экране,
браузер автоматически осуществит необходимый запрос. Как только вы решили что выполнили это задание
просто обновите страницу. Если всё сделано верно, то в главном меню, на против соответствующего урока,
появится зелёная отметка.
<!-- Stop Instructions -->