Изпечатай

[VladSun]

Пускам и аз една хахорска игра, която не е специфична за Линукс, а по-скоро за лоши практики в web разработката.
В момента има 3 нива и мисля за още.

Успех '>

http://212.117.50.108/

[VladSun]

Това второ ниво ви изяде '>

А, е елементарно ... наистина '>

Plugin-а за FF - Web developer toolbar, ще ви свърши доста работа.

[sverdlov]

мисля че ползването на плъгини за фф и скл инжекции не са най-добрия критерий за хаксор '> виж, гифар или джаваскрип медицинските манипулации биха били нещо по-добро, да неговорим за модификация на аякс приложения...

Та, предложение: добави джаваскрип инжекцион, сложи 2-3 слабости в администриране пак със същото банално куки питащо имаш ли админски права ти бе? и тн...

ето още един пример за такъв чалиндж
http://hax.tor.hu/welcome/

А, щях да забравя - файл дискложър и тн, все интересни неща... ако бях пхп дивелопър, щях да напиша един такъв чалиндж, но то пък не може всеки сертифициран дабълкликър да пише пхп

Една от най-"великите" уеб дивелопърски компании в БГ пише сайтове, 95% от които страдат от скл и файл дискложър, и се чудя да ги кажа ли на потребителите или да им кажа да пренапишат 95% от сайтовете си без да информират потребителите? Какво ще кажете, кой е по-добрия подход?

Иначе, влад, евала, добър първи опит за чалиндж, занимаваш ли се професионално с "това" или просто ти е кеф да ръчкаш?

[VladSun]

Цитат

мисля че ползването на плъгини за фф и скл инжекции не са най-добрия критерий за хаксор '>

Цитат

то още един пример за такъв чалиндж http://hax.tor.hu/welcome/

е точно за този сайт бая работа ми свършиха плъгините '>

Цитат

Та, предложение: добави джаваскрип инжекцион,

ти до кое ниво стигна '>

Цитат

пак със същото банално куки питащо имаш ли админски права ти бе? и тн...

няма такова cookie '>
освен това на следващото ниво веднага показвам как се защитаваш от такава атака ... това е и идеята.

Цитат

Иначе, влад, евала, добър първи опит за чалиндж, занимаваш ли се професионално с "това" или просто ти е кеф да ръчкаш?

Благодаря!
И двете '>


По отношение на играта - ако си говорим честно - ясно е, че първите 2-3 нива ще са "банални", но така и трябва да бъде, нали? А, аз още не виждам човек да е минал 2-ро, да не говорим за 3-то ниво ...

И все пак пропуснах най-баналното - JavaScript password auth. '>

[VladSun]

Между другото - в кода никъде няма използване на $_REQUEST '>
Че гледам - има някакви такива опити.

[sverdlov]

Влад, не съм се и опитвал да минавам нивата.

В момента не съм с "работната" дистрибуция, спи ми се, и написах поста ей-така да ми минава клавиатурата под ръцете.  Айде, първото го минах само като го видях, беше ясно за кво става въпрос. Хубаво е някой в България да вземе да помага на хората да се образоват по секюрити.

Хубаво ще е и разни кирливи фирмички правещи сайтове, най-после да се вземат в ръце и поне да копи-пействат код който е сигурен...

Колкото за хахор чаленжите: какво ке кажете, да сетнем един истински чалиндж, в който скрипткидитата не могат да участват? Нещо от типа социалистически инженери работещи с деБагер и тн? '>

[VladSun]

Хубаво би било хората да пишат сигурен код - определено '>

Аз сега гася машината, че много шуми ... утре в 12:00 като стана пак я пускам '>

EDIT: Пусната е вече '>

[VladSun]

Цитат (sverdlov @ Сеп. 06 2008,23:48)

пак със същото банално куки питащо имаш ли админски права ти бе?

вече 8 човека седят на 2-ро ниво и не мърдат от там, трето - 0 човека ...
Значи добре съм си подбрал нивата '>

[VladSun]

Я! Участник на 3-то ниво '>
Явно трябва да подготвям следващите нива '>

EDIT: Мдам, почти бях сигурен, че е Mordred и съм прав '>

E ... имаме заето първо място - Mordred '>

[gat3way]

'>

[VladSun]

Опааа '>
2-ри победител е ....

gat3way!!!

[gat3way]

Първото ниво беше най-сложно, скъса ми нервите '>

[VladSun]

Има и още минали последното ниво, но не си казват кои са '>

След 2-3 дена ще пусна и страница с опитите за хакване на всеки участник.
Както и "лошия" PHP сорс код.

[gat3way]

Кажи им адресите на гадовете '>

[VladSun]

За хакера Bibi - цъкнах, ама не бях длъжен '> Но, айде - ще го приема '>