Название урока:CSRF, обход мезанизмов подтверждений
Тема для изучения:
На данном уроке вы научитесь проводить CSRF-нападения в обход механизмов подтверждения операций.Как работает данный класс атак:
CSRF является таким видом атак, при проведении которых браузер жертвы, без её ведома, отправляет на целевой сайт запросы нужные злоумышленнику. Иногда, при проведении важных операций, сервер может запросить у пользователя их подтверждение. Этот ход может показаться решением проблем связанных с CSRF, но только не в случаях когда подтверждение реализовано средствами JavaScript. На данном уроке вы научитесь обходить такие варианты подтверждений, как одиночных, так и многочисленных. Решением будет являться та же посылка поддельных запросов, но уже не одного, а нескольких.
Цели и задачи:
Как и в прошлом уроке, вашей целью является отправка электронного письма в новостную группу. Письмо, при просмотре, должно вызывать отправку нескольких поддельных запросов: первый на осуществление денежного перевода, второй на его подтверждение. Сначала URL, по которому будет произведено обращение, должен содержать параметр "transferFunds", равный "4000", затем его же, но со значением "CONFIRM". После того как сообщение отобразится на экране, браузер любого кто его увидит сам сделает всё что нужно. В конце работы обновите текущую страницу. Если задание выполнено верно, то в главном меню, на против этого урока, появится зелёная отметка.