Титла: Hahor challenge web-part Публикувано от: VladSun в Sep 06, 2008, 18:47 Пускам и аз една хахорска игра, която не е специфична за Линукс, а по-скоро за лоши практики в web разработката.
В момента има 3 нива и мисля за още. Успех http://212.117.50.108/ Титла: Hahor challenge web-part Публикувано от: VladSun в Sep 06, 2008, 23:18 Това второ ниво ви изяде
А, е елементарно ... наистина Plugin-а за FF - Web developer toolbar, ще ви свърши доста работа. Титла: Hahor challenge web-part Публикувано от: sverdlov в Sep 06, 2008, 23:48 мисля че ползването на плъгини за фф и скл инжекции не са най-добрия критерий за хаксор виж, гифар или джаваскрип медицинските манипулации биха били нещо по-добро, да неговорим за модификация на аякс приложения...
Та, предложение: добави джаваскрип инжекцион, сложи 2-3 слабости в администриране пак със същото банално куки питащо имаш ли админски права ти бе? и тн... ето още един пример за такъв чалиндж http://hax.tor.hu/welcome/ А, щях да забравя - файл дискложър и тн, все интересни неща... ако бях пхп дивелопър, щях да напиша един такъв чалиндж, но то пък не може всеки сертифициран дабълкликър да пише пхп Една от най-"великите" уеб дивелопърски компании в БГ пише сайтове, 95% от които страдат от скл и файл дискложър, и се чудя да ги кажа ли на потребителите или да им кажа да пренапишат 95% от сайтовете си без да информират потребителите? Какво ще кажете, кой е по-добрия подход? Иначе, влад, евала, добър първи опит за чалиндж, занимаваш ли се професионално с "това" или просто ти е кеф да ръчкаш? Титла: Hahor challenge web-part Публикувано от: VladSun в Sep 07, 2008, 00:07
е точно за този сайт бая работа ми свършиха плъгините
ти до кое ниво стигна
няма такова cookie освен това на следващото ниво веднага показвам как се защитаваш от такава атака ... това е и идеята.
Благодаря! И двете По отношение на играта - ако си говорим честно - ясно е, че първите 2-3 нива ще са "банални", но така и трябва да бъде, нали? А, аз още не виждам човек да е минал 2-ро, да не говорим за 3-то ниво ... И все пак пропуснах най-баналното - JavaScript password auth. Титла: Hahor challenge web-part Публикувано от: VladSun в Sep 07, 2008, 00:42 Между другото - в кода никъде няма използване на $_REQUEST
Че гледам - има някакви такива опити. Титла: Hahor challenge web-part Публикувано от: sverdlov в Sep 07, 2008, 02:19 Влад, не съм се и опитвал да минавам нивата.
В момента не съм с "работната" дистрибуция, спи ми се, и написах поста ей-така да ми минава клавиатурата под ръцете. Айде, първото го минах само като го видях, беше ясно за кво става въпрос. Хубаво е някой в България да вземе да помага на хората да се образоват по секюрити. Хубаво ще е и разни кирливи фирмички правещи сайтове, най-после да се вземат в ръце и поне да копи-пействат код който е сигурен... Колкото за хахор чаленжите: какво ке кажете, да сетнем един истински чалиндж, в който скрипткидитата не могат да участват? Нещо от типа социалистически инженери работещи с деБагер и тн? Титла: Hahor challenge web-part Публикувано от: VladSun в Sep 07, 2008, 02:31 Хубаво би било хората да пишат сигурен код - определено
Аз сега гася машината, че много шуми ... утре в 12:00 като стана пак я пускам EDIT: Пусната е вече Титла: Hahor challenge web-part Публикувано от: VladSun в Sep 07, 2008, 21:45
вече 8 човека седят на 2-ро ниво и не мърдат от там, трето - 0 човека ... Значи добре съм си подбрал нивата Титла: Hahor challenge web-part Публикувано от: VladSun в Sep 07, 2008, 22:23 Я! Участник на 3-то ниво
Явно трябва да подготвям следващите нива EDIT: Мдам, почти бях сигурен, че е Mordred и съм прав E ... имаме заето първо място - Mordred Титла: Hahor challenge web-part Публикувано от: gat3way в Sep 07, 2008, 23:29 Титла: Hahor challenge web-part Публикувано от: VladSun в Sep 07, 2008, 23:29 Опааа
2-ри победител е .... gat3way!!! Титла: Hahor challenge web-part Публикувано от: gat3way в Sep 07, 2008, 23:33 Първото ниво беше най-сложно, скъса ми нервите
Титла: Hahor challenge web-part Публикувано от: VladSun в Sep 08, 2008, 19:32 Има и още минали последното ниво, но не си казват кои са
След 2-3 дена ще пусна и страница с опитите за хакване на всеки участник. Както и "лошия" PHP сорс код. Титла: Hahor challenge web-part Публикувано от: gat3way в Sep 08, 2008, 20:37 Кажи им адресите на гадовете
Титла: Hahor challenge web-part Публикувано от: VladSun в Sep 09, 2008, 14:38 За хакера Bibi - цъкнах, ама не бях длъжен Но, айде - ще го приема
Титла: Hahor challenge web-part Публикувано от: VladSun в Sep 19, 2008, 01:23 Както обещах - малко разбор.
Играта Ниво I Трябваше да се направи SQL injection. Ниво II Трябваше да се подмени стойността на сериализирана и записана в cookie, с base64 кодиране, PHP променлива; Ниво III Трябваше да се направи XSS с последващ session-hijacking. Резултатите: - ~50 човека играха; - 3-4 човека минаха цялата игра; - повечето ( > 80%) от участниците минаха успешно първото ниво; - повечето ( > 70% ) "забиха" на второто ниво; - около 3-4 не успяха да миинат трето ниво; Титла: Hahor challenge web-part Публикувано от: VladSun в Sep 19, 2008, 01:25 Утре ще пусна една игра с по-учебна цел - SQL заявки
Към момента, имам вече 5 нива Няма да има хакерстване, просто добри познания по SQL. Титла: Hahor challenge web-part Публикувано от: jet в Sep 19, 2008, 03:47 че поне дай примери как стават тези хаквания- нали се прави с учебна цел- да има и решения на задачите.
Иначе все едно си чешете езиците 5 човека и се правите на интересни пред останалите. Титла: Hahor challenge web-part Публикувано от: VladSun в Sep 19, 2008, 14:24 Във всяка задачка имаше и подсказка ... Geoogle is your friend
Титла: Hahor challenge web-part Публикувано от: m0rph в Sep 19, 2008, 17:52 Ами аз първо ниво го минах супер елементарно - един сърч в гоогъл и излезе това http://en.wikipedia.org/wiki/SQL_injection
Копи и пейст на вторият ред ( a' or 't'='t ) и си готов. Второ ниво схванах какво трябва да се направи, но нещо операта не искаше да върне променената бисквитка и до там. Нямах много време да се занимавам повече. Иначе за декодирането лестно, пак един сърч в гугъл и - http://www.motobit.com/util/base64-decoder-encoder.asp . Титла: Hahor challenge web-part Публикувано от: gat3way в Sep 19, 2008, 20:32 Да ви !$$#%#%%@@@@@#$ на вас дето гледате кво имало в уикипедия
Аз си счупих нервите с това |