6a96547ef0
git-svn-id: http://webgoat.googlecode.com/svn/branches/webgoat-6.0@485 4033779f-a91e-0410-96ef-6bf7bf53c507
32 lines
2.7 KiB
HTML
32 lines
2.7 KiB
HTML
<div align="Center">
|
||
<p><b>Название урока:</b>CSRF, обход мезанизмов подтверждений</p><br/>
|
||
</div>
|
||
|
||
<p><b>Тема для изучения:</b> </p>
|
||
На данном уроке вы научитесь проводить CSRF-нападения в обход механизмов подтверждения операций.
|
||
<br>
|
||
<div align="Left">
|
||
<p>
|
||
<b>Как работает данный класс атак:</b>
|
||
<p>
|
||
CSRF является таким видом атак, при проведении которых браузер жертвы, без её ведома, отправляет
|
||
на целевой сайт запросы нужные злоумышленнику. Иногда, при проведении важных операций, сервер может
|
||
запросить у пользователя их подтверждение. Этот ход может показаться решением проблем связанных с CSRF,
|
||
но только не в случаях когда подтверждение реализовано средствами JavaScript. На данном уроке вы научитесь
|
||
обходить такие варианты подтверждений, как одиночных, так и многочисленных. Решением будет являться та же посылка
|
||
поддельных запросов, но уже не одного, а нескольких.
|
||
</p>
|
||
|
||
|
||
</div>
|
||
<p><b>Цели и задачи:</b> </p>
|
||
<!-- Start Instructions -->
|
||
Как и в прошлом уроке, вашей целью является отправка электронного письма в новостную группу. Письмо, при просмотре,
|
||
должно вызывать отправку нескольких поддельных запросов: первый на осуществление денежного перевода, второй на
|
||
его подтверждение. Сначала URL, по которому будет произведено обращение, должен содержать параметр "transferFunds",
|
||
равный "4000", затем его же, но со значением "CONFIRM". После того как сообщение отобразится на экране, браузер любого
|
||
кто его увидит сам сделает всё что нужно. В конце работы обновите текущую страницу. Если задание выполнено верно, то в
|
||
главном меню, на против этого урока, появится зелёная отметка.
|
||
<!-- Stop Instructions -->
|
||
|