Автор Тема: Hahor challenge web-part  (Прочетена 55491 пъти)

VladSun

  • Moderator
  • Участник
  • *****
  • Публикации: 2166
    • Профил
Hahor challenge web-part
« -: Sep 06, 2008, 18:47 »
Пускам и аз една хахорска игра, която не е специфична за Линукс, а по-скоро за лоши практики в web разработката.
В момента има 3 нива и мисля за още.

Успех '<img'>

http://212.117.50.108/
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

VladSun

  • Moderator
  • Участник
  • *****
  • Публикации: 2166
    • Профил
Hahor challenge web-part
« Отговор #1 -: Sep 06, 2008, 23:18 »
Това второ ниво ви изяде '<img'>

А, е елементарно ... наистина '<img'>

Plugin-а за FF - Web developer toolbar, ще ви свърши доста работа.



Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

sverdlov

  • Участник
  • *****
  • Публикации: 351
    • Профил
Hahor challenge web-part
« Отговор #2 -: Sep 06, 2008, 23:48 »
мисля че ползването на плъгини за фф и скл инжекции не са най-добрия критерий за хаксор '<img'> виж, гифар или джаваскрип медицинските манипулации биха били нещо по-добро, да неговорим за модификация на аякс приложения...

Та, предложение: добави джаваскрип инжекцион, сложи 2-3 слабости в администриране пак със същото банално куки питащо имаш ли админски права ти бе? и тн...

ето още един пример за такъв чалиндж
http://hax.tor.hu/welcome/

А, щях да забравя - файл дискложър и тн, все интересни неща... ако бях пхп дивелопър, щях да напиша един такъв чалиндж, но то пък не може всеки сертифициран дабълкликър да пише пхп

Една от най-"великите" уеб дивелопърски компании в БГ пише сайтове, 95% от които страдат от скл и файл дискложър, и се чудя да ги кажа ли на потребителите или да им кажа да пренапишат 95% от сайтовете си без да информират потребителите? Какво ще кажете, кой е по-добрия подход?

Иначе, влад, евала, добър първи опит за чалиндж, занимаваш ли се професионално с "това" или просто ти е кеф да ръчкаш?



Активен

VladSun

  • Moderator
  • Участник
  • *****
  • Публикации: 2166
    • Профил
Hahor challenge web-part
« Отговор #3 -: Sep 07, 2008, 00:07 »
Цитат
мисля че ползването на плъгини за фф и скл инжекции не са най-добрия критерий за хаксор '<img'>


Цитат
то още един пример за такъв чалиндж
http://hax.tor.hu/welcome/


е точно за този сайт бая работа ми свършиха плъгините '<img'>

Цитат
Та, предложение: добави джаваскрип инжекцион,


ти до кое ниво стигна '<img'>

Цитат
пак със същото банално куки питащо имаш ли админски права ти бе? и тн...


няма такова cookie '<img'>
освен това на следващото ниво веднага показвам как се защитаваш от такава атака ... това е и идеята.

Цитат
Иначе, влад, евала, добър първи опит за чалиндж, занимаваш ли се професионално с "това" или просто ти е кеф да ръчкаш?


Благодаря!
И двете '<img'>


По отношение на играта - ако си говорим честно - ясно е, че първите 2-3 нива ще са "банални", но така и трябва да бъде, нали? А, аз още не виждам човек да е минал 2-ро, да не говорим за 3-то ниво ...

И все пак пропуснах най-баналното - JavaScript password auth. '<img'> ':p'



Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

VladSun

  • Moderator
  • Участник
  • *****
  • Публикации: 2166
    • Профил
Hahor challenge web-part
« Отговор #4 -: Sep 07, 2008, 00:42 »
Между другото - в кода никъде няма използване на $_REQUEST '<img'>
Че гледам - има някакви такива опити.
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

sverdlov

  • Участник
  • *****
  • Публикации: 351
    • Профил
Hahor challenge web-part
« Отговор #5 -: Sep 07, 2008, 02:19 »
Влад, не съм се и опитвал да минавам нивата.

В момента не съм с "работната" дистрибуция, спи ми се, и написах поста ей-така да ми минава клавиатурата под ръцете.  Айде, първото го минах само като го видях, беше ясно за кво става въпрос. Хубаво е някой в България да вземе да помага на хората да се образоват по секюрити.

Хубаво ще е и разни кирливи фирмички правещи сайтове, най-после да се вземат в ръце и поне да копи-пействат код който е сигурен...

Колкото за хахор чаленжите: какво ке кажете, да сетнем един истински чалиндж, в който скрипткидитата не могат да участват? Нещо от типа социалистически инженери работещи с деБагер и тн? '<img'>
Активен

VladSun

  • Moderator
  • Участник
  • *****
  • Публикации: 2166
    • Профил
Hahor challenge web-part
« Отговор #6 -: Sep 07, 2008, 02:31 »
Хубаво би било хората да пишат сигурен код - определено '<img'>

Аз сега гася машината, че много шуми ... утре в 12:00 като стана пак я пускам '<img'>

EDIT: Пусната е вече '<img'>



Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

VladSun

  • Moderator
  • Участник
  • *****
  • Публикации: 2166
    • Профил
Hahor challenge web-part
« Отговор #7 -: Sep 07, 2008, 21:45 »
Цитат (sverdlov @ Сеп. 06 2008,23:48)
пак със същото банално куки питащо имаш ли админски права ти бе?

вече 8 човека седят на 2-ро ниво и не мърдат от там, трето - 0 човека ...
Значи добре съм си подбрал нивата '<img'>
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

VladSun

  • Moderator
  • Участник
  • *****
  • Публикации: 2166
    • Профил
Hahor challenge web-part
« Отговор #8 -: Sep 07, 2008, 22:23 »
Я! Участник на 3-то ниво '<img'>
Явно трябва да подготвям следващите нива '<img'>

EDIT: Мдам, почти бях сигурен, че е Mordred и съм прав '<img'>

E ... имаме заето първо място - Mordred '<img'>



Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Hahor challenge web-part
« Отговор #9 -: Sep 07, 2008, 23:29 »
'<img'>
Активен

"Knowledge is power" - France is Bacon

VladSun

  • Moderator
  • Участник
  • *****
  • Публикации: 2166
    • Профил
Hahor challenge web-part
« Отговор #10 -: Sep 07, 2008, 23:29 »
Опааа '<img'>
2-ри победител е ....

gat3way!!!
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Hahor challenge web-part
« Отговор #11 -: Sep 07, 2008, 23:33 »
Първото ниво беше най-сложно, скъса ми нервите '<img'>
Активен

"Knowledge is power" - France is Bacon

VladSun

  • Moderator
  • Участник
  • *****
  • Публикации: 2166
    • Профил
Hahor challenge web-part
« Отговор #12 -: Sep 08, 2008, 19:32 »
Има и още минали последното ниво, но не си казват кои са '<img'>

След 2-3 дена ще пусна и страница с опитите за хакване на всеки участник.
Както и "лошия" PHP сорс код.



Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Hahor challenge web-part
« Отговор #13 -: Sep 08, 2008, 20:37 »
Кажи им адресите на гадовете '<img'>
Активен

"Knowledge is power" - France is Bacon

VladSun

  • Moderator
  • Участник
  • *****
  • Публикации: 2166
    • Профил
Hahor challenge web-part
« Отговор #14 -: Sep 09, 2008, 14:38 »
За хакера Bibi - цъкнах, ама не бях длъжен '<img'> Но, айде - ще го приема '<img'>
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Linux vs Window$ part 2
Идеи и мнения
Buda 21 10938 Последна публикация Feb 20, 2004, 18:06
от nix
Linux vs Windows Part 3
Идеи и мнения
Buda 22 13967 Последна публикация Feb 23, 2004, 22:50
от Agent_SMITH
Hahor challenge part ii
Конкурс bash-майсторът
gat3way 55 117762 Последна публикация Aug 08, 2008, 10:49
от bnight
Hahor challenge :)
Конкурс bash-майсторът
gat3way 66 140086 Последна публикация Jul 27, 2008, 18:59
от VladSun
Hah0r challenge....again :)
Системна Сигурност
gat3way 9 10203 Последна публикация Feb 03, 2009, 16:43
от gat3way