Lesson Plan Title: How to Create Database Back Door Attacks.
+Название урока: Как осуществляется помещение вредоносных конструкций в БД.
Concept / Topic To Teach:
-How to Create Database Back Door Attacks. +Тема для изучения:
+Помещение вредоносных конструкций в БД-How the attacks works: +Как работает данный вид атаки:
-Databases are used usually as a backend for web applications. Also it is used as a media of storage. It can also -be used as a place to store a malicious activity such as a trigger. A trigger is called by the database management -system upon the execution of another database operation like insert, select, update or delete. An attacker for example -can create a trigger that would set his email address instead of every new user's email address. +База данных обычно используется как backend веб-приложений в качестве хранилища важных данных. В процессе атаки злоумышленник +может помещать в неё различные вредоносные конструкции, например опасные триггеры. Триггеры вызываются +каждый раз при выполнении базой определённой операции (выборка, вставка, обновление данных и т.д.). Например атакующий +может создать триггер который будет у всех регистрирующихся пользователей менять почтовые адреса на подконтрольный ему email.General Goal(s):
+Основная цель(и):
-* Your goal should be to learn how you can exploit a vulnerable query to create a trigger.Lesson Plan Title: How to Perform Blind SQL Injection
+Название темы: Использование слепых SQL-инъекций
Concept / Topic To Teach:
+Тема для изучения:
-SQL injection attacks represent a serious threat to any database-driven site. The methods behind an attack are easy to learn and the damage caused can range from considerable to complete system compromise. Despite these risks an incredible number of systems on the internet are susceptible to this form of attack. +SQL-инъекции представляют серьёзную опасность для сайтов, чья работа основывается на БД. +Методы осуществления таких атак очень просты в освоении и ущерб наносимый ими нельзя недооценивать т.к. злоумышленник +с их помощью в некоторых случаях может добиться полной компрометации системы. +Несмотря на всю опасность SQL-инъекций каждый день появляется множество уязвимых к ним веб-приложений.General Goal(s):
-The form below allows a user to enter an account number and determine if it is valid or not. Use this form to develop a true / false test check other entries in the database.Главная цель(и):
+Форма, расположенная ниже, позволяет пользователю вводить номер аккаунта и проверять действителен он или нет. +Воспользуйтесь данной формой для того чтоб через уязвимость на стороне сервера получить +возможность извлекать произвольные данные из БД. +Lesson Plan Title: How to Perform Command Injection
+Название урока: Использование инъекций команд
Concept / Topic To Teach:
+Тема для изучения:
-Command injection attacks represent a serious threat to any parameter-driven site. The methods behind an attack are easy to learn and the damage caused can range from considerable to complete system compromise. Despite these risks an incredible number of systems on the internet are susceptible to this form of attack.General Goal(s):
-The user should be able to execute any command on the hosting OS. \ No newline at end of file +Основные цели и задачи:
+Попробуйте найти уязвимость через которую можно выполнить какую-нибудь команду операционной системы. \ No newline at end of file diff --git a/src/main/webapp/lesson_plans/ru/DOS_Login.html b/src/main/webapp/lesson_plans/ru/DOS_Login.html index 941a89b49..460cd4100 100644 --- a/src/main/webapp/lesson_plans/ru/DOS_Login.html +++ b/src/main/webapp/lesson_plans/ru/DOS_Login.html @@ -1,9 +1,12 @@Lesson Plan Title: Denial of Service from Multiple Logins
+Название урока: Отказ в обслуживании при нескольких одновременных попытках авторизации
Concept / Topic To Teach:
+Тема для изучения:
-Denial of service attacks are a major issue in web applications. If the end user cannot conduct business or perform the service offered by the web application, then both time and money is wasted. -General Goal(s):
-This site allows a user to login multiple times. This site has a database connection pool that allows 2 connections. You must obtain a list of valid users and create a total of 3 logins. +Атаки класса "Отказ в обслуживании" являются главной проблемой веб-приложений. Ситуации, при которых конечный пользователь +долгое время не может получить доступ к важному приложению или сервису, могут принести большие убытки. +Основные цели и задачи:
+Данный сайт позволяет нескольким пользователям авторизироваться одновременно. В то же время +веб-приложение может устанавливать с БД только 2 соединения за раз. Вы должны получить +список существующих пользователей и попытаться одновременно произвести вход от 3 логинов. \ No newline at end of file diff --git a/src/main/webapp/lesson_plans/ru/FailOpenAuthentication.html b/src/main/webapp/lesson_plans/ru/FailOpenAuthentication.html index 27a82e2cf..ff90da904 100644 --- a/src/main/webapp/lesson_plans/ru/FailOpenAuthentication.html +++ b/src/main/webapp/lesson_plans/ru/FailOpenAuthentication.html @@ -1,10 +1,13 @@Lesson Plan Title: How to Bypass Fail Open Authentication
+Название урока: Использование уязвимостей ложной аутентификации
Concept / Topic To Teach:
+Тема для изучения:
- This lesson presents the basics for understanding the "fail open" condition regarding authentication. The security term, “fail open” describes a behavior of a verification mechanism. This is when an error (i.e. unexpected exception) occurs during a verification method causing that method to evaluate to true. This is especially dangerous during login.General Goal(s):
- The user should be able to bypass the authentication check. \ No newline at end of file +Основные цели и задачи:
+Вы должны обойти механизм проверки аутентификации. \ No newline at end of file diff --git a/src/main/webapp/lesson_plans/ru/LogSpoofing.html b/src/main/webapp/lesson_plans/ru/LogSpoofing.html index 105e38f54..544b2bf23 100644 --- a/src/main/webapp/lesson_plans/ru/LogSpoofing.html +++ b/src/main/webapp/lesson_plans/ru/LogSpoofing.html @@ -1,20 +1,20 @@Lesson Plan Title: How to Perform Log Spoofing.
+Название урока: Подделка записей в лог-файлах.
Concept / Topic To Teach:
- This lesson teaches attempts to fool the human eye. +Тема для изучения:
+ На этом уроке рассматривается простой обман человеческих глаз.-How the attacks works: -The attack is based on fooling the humane eye in log files. An attacker can erase his traces from the logs -using this attack. +Как работает данный тип атак: +Целью этих атак является подделка записей лог-файла за счёт помещения в него специально сформированной строки. +Это позволит атакующему запутать администратора и скрыть свои следы.
General Goal(s):
+Основные цели:
-* The grey area below represents what is going to be logged in the web server's log file.Lesson Plan Title: How to Perform a SQL Injection
+Название урока: Проведение SQL-инъекци
Concept / Topic To Teach:
+Тема для изучения:
-SQL injection attacks represent a serious threat to any database-driven site. The methods behind an attack are easy to learn and the damage caused can range from considerable to complete system compromise. Despite these risks, an incredible number of systems on the internet are susceptible to this form of attack. +SQL-инъекции представляют из себя очень серьёзную угрозу для сайтов основанных на БД. +Методы их использования достаточно легки в освоении, а ущерб создаваемый ими огромен и +при определённых условиях может произойти к компрометации всей системы. Тем не менее, +количество интернет-сайтов с уязвимостями данного типа постоянно растёт.General Goal(s):
-For this exercise, you will perform SQLInjection attacks. You will also implement code changes in the web application to defeat these attacks. +Основные цели и задачи:
+В данном упражнении вы научитесь использовать SQL-инъекции. Кроме того, вам нужно будет +внести в код правки, которые устранят эту уязвимость в тестовом приложении. \ No newline at end of file diff --git a/src/main/webapp/lesson_plans/ru/SqlNumericInjection.html b/src/main/webapp/lesson_plans/ru/SqlNumericInjection.html index a081c1a29..d8a13b346 100644 --- a/src/main/webapp/lesson_plans/ru/SqlNumericInjection.html +++ b/src/main/webapp/lesson_plans/ru/SqlNumericInjection.html @@ -1,14 +1,22 @@Lesson Plan Title: How to Perform Numeric SQL Injection
+Название урока: Проведение числовых SQL-инъекций
Concept / Topic To Teach:
+Тема для изучения:
-SQL injection attacks represent a serious threat to any database-driven site. The methods behind an attack are easy to learn and the damage caused can range from considerable to complete system compromise. Despite these risks, an incredible number of systems on the internet are susceptible to this form of attack. +SQL-инъекции представляют из себя очень серьёзную угрозу для сайтов основанных на БД. +Методы их использования достаточно легки в освоении, а ущерб создаваемый ими огромен и +при определённых условиях может произойти к компрометации всей системы. Тем не менее, +количество интернет-сайтов с уязвимостями данного типа постоянно растёт.General Goal(s):
-The form below allows a user to view weather data. Try to inject an SQL string that results in all the weather data being displayed. +Основные цели:
+Расположенная ниже форма позволяет пользователям смотреть данные о погоде. +Вам необходимо с её помощью обнаружить в тестовом приложении уязвимость. +Для подсказки чуть ниже выводится итоговый запрос, который получается на +стороне сервера. \ No newline at end of file diff --git a/src/main/webapp/lesson_plans/ru/SqlStringInjection.html b/src/main/webapp/lesson_plans/ru/SqlStringInjection.html index 2dc84b697..4b329edea 100644 --- a/src/main/webapp/lesson_plans/ru/SqlStringInjection.html +++ b/src/main/webapp/lesson_plans/ru/SqlStringInjection.html @@ -1,14 +1,22 @@Lesson Plan Title: How to Perform String SQL Injection
+Название урока: Как использовать строковые SQL-инекции
Concept / Topic To Teach:
+Тема для изучения:
-SQL injection attacks represent a serious threat to any database-driven site. The methods behind an attack are easy to learn and the damage caused can range from considerable to complete system compromise. Despite these risks, an incredible number of systems on the internet are susceptible to this form of attack. +SQL-инъекции представляют из себя очень серьёзную угрозу для сайтов основанных на БД. +Методы их использования достаточно легки в освоении, а ущерб создаваемый ими огромен и +при определённых условиях может произойти к компрометации всей системы. Тем не менее, +количество интернет-сайтов с уязвимостями данного типа постоянно растёт.General Goal(s):
-The form below allows a user to view their credit card numbers. Try to inject an SQL string that results in all the credit card numbers being displayed. Try the user name of 'Smith'. +Основные цели и задачи:
+Расположенная ниже форма позволяет пользователям просматривать их номера кредитных карт. +Попробуйте внести SQL-выражение в поле фамилии. После отправки формы вы чуть ниже увидите итоговый +SQL-запрос, который сформируется в приложении. В качестве самой фамилии используйте 'Smith'. \ No newline at end of file diff --git a/src/main/webapp/lesson_plans/ru/XPATHInjection.html b/src/main/webapp/lesson_plans/ru/XPATHInjection.html index 926d8f151..5d6f80ba2 100644 --- a/src/main/webapp/lesson_plans/ru/XPATHInjection.html +++ b/src/main/webapp/lesson_plans/ru/XPATHInjection.html @@ -1,22 +1,31 @@Lesson Plan Title: How to Perform XPATH Injection Attacks.
+Название урока: Использование XPATH-инъекций.
Concept / Topic To Teach:
- This lesson teaches how to perform XPath Injection attacks. +Тема для изучения:
+ Сейчас мы рассмотрим использование XPath-инъекций-How the attacks works: +Как работает данный вид атак:
-Similar to SQL Injection, XPATH Injection attacks occur when a web site uses user supplied information to query XML data. By sending intentionally malformed information into the web site, an attacker can find out how the XML data is structured or access data that they may not normally have access to. -They may even be able to elevate their privileges on the web site if the xml data is being used for authentication (such as an xml based user file). - -Querying XML is done with XPath, a type of simple descriptive statement that allows the xml query to locate a piece of information. Like SQL you can specify certain attributes to find and patterns to match. When using XML for a web site it is common to accept some form of input on the query string to identify the content to locate and display on the page. This input must be sanitized to verify that it doesn't mess up the XPath query and return the wrong data. +По аналогии с SQL-инъекциями, XPath-инъекции возникают тогда, когда пользовательские +данные без должной проверки попадают в запрос к XML-данным. Посылая приложению +специльно сформированные запросы злоумышленник может раскрыть внутреннюю структуру +XML-базы и получить доступ к той информации, к которой ему обращаться нельзя. +Например он может повысить свои привилегии если ему удастся +произвести XPath-инъекцию в отношении файла хранящего пользовательские аккаунты. +Запросы к XML осуществляются с помощью XPath - не сложного языка, позволяющего +определять местонахождения информации в XML-структуре. Как и в SQL, в нём вы можете +устанавливать критерии поиска. В случаях когда данные приложения хранятся в виде XML-базы, +пользователь с помощью одного или нескольких параметров запроса может определять что из неё будет +извлечено и отображено на сайте. Эти параметры должны тщательно проверяться, чтоб атакующий +не смог изменить структуру изначального XPath-запроса и извлечь чувствительную информацию.General Goal(s):
+Основные цели:
-The form below allows employees to see all their personal data including their salaries. Your account is Mike/test123. Your goal is to try to see other employees data as well. +Форма ниже позволяет работникам смотреть их персональную информацию включая данные +о зарплате. Ваш аккаунт - Mike/test123. Цель - просмотреть данные других работников.