dubey/WebGoat
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Translated plans for chapter "Parameter Tampering"

Browse Source 
git-svn-id: http://webgoat.googlecode.com/svn/trunk/webgoat@431 4033779f-a91e-0410-96ef-6bf7bf53c507
This commit is contained in:
white.tiger.russia@gmail.com 2011-06-02 04:34:00 +00:00
parent 4ac799c702
commit f35779571c
3 changed files with 35 additions and 19 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

17
src/main/webapp/lesson_plans/ru/HiddenFieldTampering.html
View File

@ -1,12 +1,17 @@
<div align="Center">
<p><b>Lesson Plan Title:</b> How to Exploit Hidden Fields </p>
<p><b>Название урока:</b> Использование скрытых полей форм </p>
</div>
<p><b>Concept / Topic To Teach:</b> </p>
<p><b>Тема для изучения:</b> </p>
Developers will use hidden fields for tracking, login, pricing, etc.. information on a loaded page. While this is a convenient and easy mechanism for the developer, they often don't validate the information that is received from the hidden field. This lesson will teach the attacker to find and modify hidden fields to obtain a product for a price other than the price specified <br>
Разработчики используют скрытые поля форм для хранения на загруженной клиентом странице
информации о ценах, авторизации, отслеживания переходов по сайту и многом другом.
Очень часто программисты пренебрегают проверкой данных получаемых из них.
На этом уроке вы научитесь находить hidden-поля и изменять их содержимое для того чтоб
устанавливать товарам нужную вам цену.
<br>
<p><b>General Goal(s):</b> </p>
The user should be able to exploit a hidden field to obtain a product at an incorrect price.
<p><b>Основные цели и задачи:</b> </p>
Пользователь должен манипулируя значениями скрытых полей приобрести товар по ненастоящей цене.
<!-- Start Instructions -->
Try to purchase the HDTV for less than the purchase price, if you have not done so already.
Попробуйте заказать HDTV намного дешевле чем он стоит на самом деле.
<!-- Stop Instructions -->

24
src/main/webapp/lesson_plans/ru/JavaScriptValidation.html
View File

@ -1,14 +1,22 @@
<div align="Center">
<p><b>Lesson Plan Title:</b> How to Bypass Client Side JavaScript Validation </p>
<p><b>Название урока:</b> Обход валидации данных реализованной на клиентской стороне с помощью JavaScript </p>
</div>
<p><b>Concept / Topic To Teach:</b> </p>
Client-side validation should not be considered a secure means of validating parameters. These validations only help reduce the amount of server processing time for normal users who do not know the format of required input. Attackers can bypass these mechanisms easily in various ways. Any client-side validation should be duplicated on the server side. This will greatly reduce the likelihood of insecure parameter values being used in the application.
<p><b>Тема для изучения:</b> </p>
Проверку данных, реализованную на клиентской стороне, не стоит рассматривать
как какой-то механизм повышающий безопасность приложения. Она лишь призвана сократить
количество неверных данных обрабатываемых сервером, которые могут поступать от простых
пользователей не знающих правильный формат определённых полей. Атакующие могут
легко обойти такие механизмы множеством способов. Поэтому проверка вводимой информации на клиентской стороне
обязательно должна иметь свои аналог на серверной части приложения. Это сильно снизит возможность
попадания в важные механизмы приложения опасных данных.
<br>
<p><b>General Goal(s):</b> </p>
For this exercise, the web site requires that you follow certain rules when you fill out a form. The user should be able to break those rules, and send the website input that it wasn't expecting. <br>
<p><b>Основные цели:</b> </p>
На этом уроке веб-сайт проверяет содержимое формы с помощью определённых механизмов.
Ваша цель обойти их и отправить форму с такими данными, которых сайт не ожидает.
<br>
<!-- Start Instructions -->
This website performs both client and server side validation. For this exercise, your job is to break the client side validation and send the
website input that it wasn't expecting. <b> You must break all 7 validators at the same time. </b>
На данном сайте реализована проверка поступающих данных и на клиентской, и на серверной стороне.
Вашей задачей является нарушение работы клиентского механизма проверки и отправка сайту неожиданной
для него информации. <b> Вы должны нарушить работу всех 7 валидаторов. </b>
<!-- Stop Instructions -->

13
src/main/webapp/lesson_plans/ru/UncheckedEmail.html
View File

@ -1,9 +1,12 @@
<div align="Center">
<p><b>Lesson Plan Title:</b> How to Exploit Unchecked Email </p>
<p><b>Название урока:</b> Использование непроверяемых почтовых сообщений </p>
</div>
<p><b>Concept / Topic To Teach:</b> </p>
<p><b>Тема для изучения:</b> </p>
<!-- Start Instructions -->
It is always a good practice to validate all inputs. Most sites allow non-authenticated users to send email to a 'friend'. This is a great mechanism for spammers to send out email using your corporate mail server.
Многие сайты позволяют не аутентифицированным пользователям отправлять почтовые
сообщения своим "друзьям". Такие сайты представляют из себя хороший инструмент
для спамеров, которые получают возможность слать рекламу с использованием
почтового сервера компании.
<!-- Stop Instructions -->
<p><b>General Goal(s):</b> </p>
The user should be able to send and obnoxious email message.
<p><b>Основные цели и задачи:</b> </p>
Пользователь должен отослать любое почтовое сообщение.