Название урока: Проведение атак межсайтовой подделки запросов.
Тема для изучения:
На данном уроке вы научитесь использовать уязвимости межсайтовой подделки запросов (CSRF).Как работает данный тип атак:
При проведении атак межсайтовой подделки запросов жертву заставляют каким-либо образом загрузить страницу содержащую опасную картинку, типа той что представлена ниже:<img src="http://www.mybank.com/sendFunds.do?acctId=123456"/>Когда браузер жертвы обрабатывает такую страницу, он автоматически совершает обращение к сайту www.mybank.com, к скрипту transferFunds.do передавая необходимый злоумышленнику параметр. Браузер будет думать что это простое изображение, тогда как на самом деле обращение к этому адресу вызовет перевод денег. Вместе с запросом, уходящим на сайт банка, будут переданы и cookies клиента. Следовательно, если в этот момент пользователь будет авторизирован на www.mybank.com, и в его cookies будет хранится идентификатор активной сессии, скрипт transferFunds.do примет этот запрос за легитимный и совершит необходимую злоумышленнику операцию. Таким образом, атакующий может производить практически все действия, которые способен делать настоящий пользователь.
Основные цели и задачи:
Ваша цель - послать в новостную группу письмо, содержащее в себе изображение со специально сформированным адресом. Картинка должна иметь размер 1*1px и производить CSRF-атаку, заставляя браузер обращаться к текущей странице, но с дополнительным параметром в URL - "transferFunds=4000". Когда вы отошлёте сообщение и оно отобразится на экране, браузер автоматически осуществит необходимый запрос. Как только вы решили что выполнили это задание просто обновите страницу. Если всё сделано верно, то в главном меню, на против соответствующего урока, появится зелёная отметка.