6a96547ef0
git-svn-id: http://webgoat.googlecode.com/svn/branches/webgoat-6.0@485 4033779f-a91e-0410-96ef-6bf7bf53c507
28 lines
2.7 KiB
HTML
28 lines
2.7 KiB
HTML
<div align="Center">
|
||
<p><b>Название урока:</b> Атаки связанные со скрытыми операциями. </p>
|
||
</div>
|
||
|
||
<p><b>Тема для изучения:</b> </p>
|
||
На данном уроке вы поймёте как осуществляются атаки связанные со скрытыми операциями.
|
||
<br>
|
||
<div align="Left">
|
||
<p>
|
||
<b>Как работают атаки такого рода:</b>
|
||
</p>
|
||
Некоторые приложения производят манипуляции с чувствительными пользовательскими данными (например с деньгами)
|
||
в скрытом виде если получат разрешение на это хотя бы один раз. Это таит множество опасностей.
|
||
Например, в простом веб-приложении для того чтоб от имени клиента обратиться к любому URL необходимо
|
||
получить его идентификатор сессии (или другие данные, которые обеспечат необходимую идентификацию).
|
||
В случае с AJAX всё намного проще: обращение к серверу может происходить в скрытом режиме без оповещения об этом пользователя.
|
||
Следовательно, внедрённый каким-либо образом в такую страницу вредоносный скрипт может осуществлять важные
|
||
операции совершенно незаметно для клиента. Например переводить его деньги со счёта на счёт.<br>
|
||
</div>
|
||
<p><b>Основные цели и задачи:</b> </p>
|
||
<!-- Start Instructions -->
|
||
* Это простейшее приложение интернет-банкинга - страница перевода денег.<br>
|
||
* Здесь отображается сумма находящаяся на балансе, поле для ввода аккаунта, которому деньги будут переведены, и поле
|
||
для суммы перевода.<br>
|
||
* Приложение использует AJAX для отправки транзакции после проведения элементарной проверки данных на клиентской стороне.<br>
|
||
* Ваша цель - попробовать осуществить от имени пользователя денежный перевод в скрытом виде.<br>
|
||
<!-- Stop Instructions -->
|