Название урока: Атаки связанные со скрытыми операциями.

Тема для изучения:

На данном уроке вы поймёте как осуществляются атаки связанные со скрытыми операциями.

Как работают атаки такого рода:

Некоторые приложения производят манипуляции с чувствительными пользовательскими данными (например с деньгами) в скрытом виде если получат разрешение на это хотя бы один раз. Это таит множество опасностей. Например, в простом веб-приложении для того чтоб от имени клиента обратиться к любому URL необходимо получить его идентификатор сессии (или другие данные, которые обеспечат необходимую идентификацию). В случае с AJAX всё намного проще: обращение к серверу может происходить в скрытом режиме без оповещения об этом пользователя. Следовательно, внедрённый каким-либо образом в такую страницу вредоносный скрипт может осуществлять важные операции совершенно незаметно для клиента. Например переводить его деньги со счёта на счёт.

Основные цели и задачи:

* Это простейшее приложение интернет-банкинга - страница перевода денег.
* Здесь отображается сумма находящаяся на балансе, поле для ввода аккаунта, которому деньги будут переведены, и поле для суммы перевода.
* Приложение использует AJAX для отправки транзакции после проведения элементарной проверки данных на клиентской стороне.
* Ваша цель - попробовать осуществить от имени пользователя денежный перевод в скрытом виде.