Ktoś z Was wykona XSS? ;)

http://xssgame.vulnerable.pl/index.php

#hacking #hackujo #xss #zagadkihakerskie

#zagadkihakerskie #security

Co prawda nie jest to news pierwszej świeżości, ale pewnie wielu jeszcze nie słyszało. Jakby ktoś miał ochotę pobawić się w hakowanie nie tylko stron www, ale także normalnych aplikacji na systemy operacyjne (a więc zabawy z eskalacją uprawnień, wyścigi, błędne uprawnienia, buffer overlow, format string, explotiowanie stosu itp.) to zachęcam do zajrzenia na http://exploit-exercises.com/ . Znajdziecie tam kilka maszyn wirtualnych najeżonych błędami wspomnianymi powyżej.

MiłejPokaż całość

#zagadkihakerskie #security #programowanie

Proponuję kolejną zagadkę hakerską, znów na tapetę bierzemy #xss. Pod adresem http://hakerium.cba.pl/zad8/ znajduje się strona z banalną podatnością typu XSS. Wystarczy wpisać dowolny tekst HTML i zostanie on wyświetlony na stronie, np. http://hakerium.cba.pl/zad8/?imie=%3Cscript%3Ealert%281%29%3C/script%3E

Na czym polega więc zagadka, skoro już podałem rozwiązanie? Ano na tym, że polePokaż całość

#security

Opowiem o ciekawym przypadku #xss, który znalazłem ostatnio na #wykop i został już naprawiony. Ciekawy jest dlatego, że nie tak łatwo go wyexploitować... Ale po kolei.

Podatność występowała na niektórych podstronach bezpośrednio w adresach. Gdy w adresie został umieszczony znak cudzysłowia, a następnie nawiasy ostre, można było wyjść z tagu i wprowadzić dowolny kod HTML. Przykład na screenie: http://i.imgur.com/ulCWnvo.pngPokaż całość

Dotychczas #zagadkihakerskie kręciły się wokół PHP, ew. pewnych smaczków w HTML-u lub SQL. Tym razem proponuję zagadkę hakerską w #python - a więc w znacznie ciekawszym, moim zdaniem, języku progamowania ;). Zagadka jest ciekawa, bo jest oparta na pewnym rzeczywistym przypadku, ale nie jest trywialna.

Pod adresem http://very-testing-aplicarion.appspot.com/ jest zdeployowana bardzo prosta aplikacja, która liczy ile minęło dni od 1 stycznia 2013 do dnia podanego w parametrze. WaszymPokaż całość

#zagadkihakerskie #javascript

Udało mi się wreszcie uporać z zadaniem nr 9 na http://escape.alf.nu/

Pochwalę się rozwiązaniem ;)

Pokaż spoiler

Pokaż całość

Mirki, nowa zagadka!

Warunki:

- Odpowiadamy pod tym wpisem, jeśli bierzesz udział w zgadywaniu to daj plusa, żeby inni też zobaczyli

-Pokaż całość

Jeśli ktoś jeszcze pamięta dawne #zagadkihakerskie, polecam spróbować zmierzyć się z http://escape.alf.nu/ - 15 leveli, w których trzeba znaleźć sposób na wykonanie

alert(1)
. Niektóre są bardzo ciekawe.

Dodaję jeszcze #javascript, bo dobra orientacja w tym języku powinna pomóc.

Ktoś tu się jeszcze z wykopowych programistów bawi w te surmy #zagadkihakerskie bo jak jeszcze nie to też polecam, poziom trudności trochę słaby ale zabawa fajna i oby tylko kontynuowana ;)

Przypominam o #zagadkihakerskie którą umieściłem wczoraj, szczegóły znajdują się tutaj: http://www.wykop.pl/wpis/1376453/programowanie-zagadkihakerskie-php-sylwke3100-widz/

#programowanie

#programowanie #zagadkihakerskie #php @sylwke3100

Widząc że @almafater zaniechał kontynuacji swojego cyklu zagadek hakerskich, postanowiłem że zajmę się kontynuacją tego cyklu i będę w przyszłości umieszczał po przynajmniej jednej zagadce na dwa dni.

Zacznijmy od czegośPokaż całość

Jak z dużym prawdopodobieństwem sprawdzić, czy hasła w danym serwisie są solone?

#programowanie #zagadkihakerskie

#programowanie #zagadkihakerskie

Wczoraj wrzuciłem zagadkę hakerską, w której należało wejść na stronę podając odpowiednie hasło, mając nawet dostęp do źródła tej strony. W tym wpisie wyjaśnię dokładnie jak należało przeprowadzić "atak" i z czego to wynika.

Zanim przejdę konkretnie do treści zagadki, krótkie wprowadzenie do zachowania PHP w przypadku użycia operatorów

==Pokaż całość

#programowanie #zagadkihakerskie #php

Na dobry początek tygodnia, zachęcam do rozwiązania kolejnej zagadki hakerskiej. Zagadka znajduje się pod adresem http://hakerium.cba.pl/zad6/.

Żeby dodatkowo ułatwić, pod adresem http://hakerium.cba.pl/zad6/index.php.txt znajdziecie kod źródłowy tej zagadki. :)

Powodzenia!

#programowanie #zagadkihakerskie

Tym razem do złamania strona pod adresem http://hakerium.cba.pl/zad5/. Wiecie, że na stronie istnieje użytkownik o następujących danych uwierzytelniających:

nazwa: wykopowicz

hasło:Pokaż całość

#zagadkihakerskie

Jak słusznie zauważył @MichaS_LwK kilka dni temu, warto do zagadek hakerskich dodać krótką informację jak się bronić. Dlatego do poprzednich zagadek dopisałem krótkie posty z opisem jakie powinno być podejście wraz z linkiem do bardziej konkretnych materiałów na ten temat :)

1. zagadka z SQL InjectionPokaż całość

#programowanie #zagadkihakerskie #ssl

Ostatnio wrzucałem zagadki hakerskie, które polegały na wykorzystaniu błędów w implementacji strony. Tym razem skupimy się na pewnym problemie (w sumie dość powszechnym) od strony koncepcyjnej.

Mamy stronę, która działa zarówno w protokole HTTP jak i HTTPS. HTTPS jest postawiony na stronie tylko do realizacji procesu logowania, cała reszta jest wysyłana przez HTTP.

NaPokaż całość

#zagadkihakerskie #programowanie #php #regex

Tym razem nieoryginalna zagadka, z którą być może część z was się spotkała. W dawniejszych czasach w manualu PHP zaproponowano taki kod do usuwania niebezpiecznych elementów z wejścia:

// $document should contain an HTML document.

//Pokaż całość

#zagadkihakerskie #programowanie #xss #js #html

Ostatnio rzuciłem kolejne wyzwanie związane z bezpieczeństwem stron internetowych. Strona pod adresem http://hakerium.cba.pl/zad2/ jest podatna na błąd typu Cross-Site Scripting (XSS) i celem zadania było dołączenie pliku z zewnętrznej domeny. Zaproponowałem plik spod adresu http://pastebin.com/raw.php?i=mYM90ckz który po prostu wyświetla alert, ale oczywiście można go dużo bardziej rozwinąć.

Sama strona umożliwiała dodawanie komentarzy o długości co najwyżej 100 znaków. Zacznijmy od analizy jak ta strona działa i dlaczego istnieje na niej podatność. (Sugeruję, żebyście samemu chwilę się stroną pobawili, żeby wiedzieć o czym ja dalej piszę :))

NaPokaż całość

#programowanie #zagadkihakerskie #xss #html #js

Kolejna zagadka hakerska. Tym razem strona, na której można dodawać komentarze o długości co najwyżej 100 znaków, która jest podatna na XSS. Waszym zadaniem jest wykonać na stronie plik JS z zewnętrznej domeny (np. ten).

http://hakerium.cba.pl/zad2/

Zadanie chyba jest znacznie łatwiejsze niż poprzednio ;)