Ajax Security - Silent Transactions Attacks
มีการใช้งาน ajax ฟังชั่น submitdata ในการส่งข้อมูล
function submitData(accountNo, balance) {
var url = 'attack?Screen=144&menu=400&from=ajax&newAccount='+ accountNo+ '&amount=' + balance +'&confirm=' + document.getElementById('confirm').value;
if (typeof XMLHttpRequest != 'undefined') {
req = new XMLHttpRequest();
} else if (window.ActiveXObject) {
req = new ActiveXObject('Microsoft.XMLHTTP');
}
req.open('GET', url, true);
req.onreadystatechange = callback;
req.send(null);
}
How to :
- กดโอนเงิน โดยใส่
Transfer Amount: : 999999999
- จะพบข้อความตอบกลับ
- ให้เปิด Firebug และเข้าแถบ Console เพื่อนำฟังชั่น submitData มาใช้งาน
- โดยการกรอก submitData(123, 999999999) จากนั้นกด Run
- จะพบ Ajax Response ตอบกลับ เป็นอันจบพิธี