6a96547ef0
git-svn-id: http://webgoat.googlecode.com/svn/branches/webgoat-6.0@485 4033779f-a91e-0410-96ef-6bf7bf53c507
16 lines
1.7 KiB
HTML
16 lines
1.7 KiB
HTML
<div align="Center">
|
||
<p><b>Название урока: </b>Опасное использование eval()</p>
|
||
</div>
|
||
<p><b>Тема для изучения:</b> </p>
|
||
<!-- Start Instructions -->
|
||
Хорошей практикой является проверка на стороне сервера всех принимаемых данных.
|
||
В случаях когда непроверенные пользовательские данные напрямую отражаются в HTTP-ответе имеется
|
||
риск появления XSS-уязвимостей. В текущем приложении не проходящие проверку пользовательские данные помещаются
|
||
в строку передаваемую функции eval(). В подобных ситуациях (они называются отражёнными XSS-уязвимостями)
|
||
злоумышленник может составить URL содержащий специальные вредоносные вставки, и опубликовать его
|
||
на стороннем веб-сайте, отправить по почте или любым другим способом донести его до жертвы.
|
||
<!-- Stop Instructions -->
|
||
<p><b>Основные цели и задачи:</b> </p>
|
||
Ваша цель - добиться выполнения произвольного JavaScript-кода в данном приложении используя
|
||
уже имеющийся в странице вызов eval(). Для того чтоб успешно завершить урок вы дложны вызвать выполнение строки
|
||
'alert(document.cookie)'. |