<div align="Center"> 
<p><b>Название урока:</b> Закрепление сессии</p>
 </div>
 
<p><b>Тема для изучения:</b> </p>
Использование атак класса 'Закрепление сессии'
 <br> 
<div align="Left"> 
<p>
<b>Как работает данный вид атак:</b>
</p>
Сервер может опознать конкретного пользователя по уникальному идентификатору сессии.
Это позволяет клиентам проходить поцедуру авторизации всего 1 раз, а затем уже обращаться к
приложению как авторизированное лицо. В некоторых приложениях идентификатор сессии
передаётся в ссылках, в качестве одного из параметров GET-запроса. Здесь и начинаются главные проблемы.
<br><br>
Атакующий может послать жертве гипер-ссылку содеращую в себе любой
идентификатор сессии. Это может быть сделано, например, через почтовое
сообщение, которое выглядит как обращение администрации сайта.
Когда жертва, кликнув по ней, попадёт на сайт и пройдёт авторизацию, то идентификатор сессии, выбранный
злоумышленником, станет идентификатором авторизованного пользователя-жертвы.
Атакующий может пройти по любой ссылке передав серверу этот же идентификатор,
и сможет действовать от чужого имени.
</div>
<p><b>Основные цели и задачи:</b> </p>
<!-- Start Instructions -->
Урок имеет несколько стадий. Вы играете роль и атакующего и жертвы.
К концу урока вы поймёте что передача идентификаторов сессий в ссылках
является очень плохой практикой.
<!-- Stop Instructions -->