Безопасность компьютерных систем 2018/Задание 2 0 0 — различия между версиями

Версия 23:16, 30 сентября 2018

Бонусное задание на XSS

Баллы

За задание можно получить 0.5 балла (сверх тех 2 баллов, которые будут даваться за основные задания).

Формулировка

Нужно, эксплуатируя XSS, получить доступ к профилям пользователей веб-приложений http://pwnitter.hse.seclab.cs.msu.su/ и http://pwnitter1337.hse.seclab.cs.msu.su/. В скрытых "твитах" в профилях будут флаги: для получения баллов их нужно сдать в принимающую систему. Точнее, флага 2:

• один в профиле пользователя DOMGr00se в http://pwnitter.hse.seclab.cs.msu.su/
• второй в профиле пользователя admin в http://pwnitter1337.hse.seclab.cs.msu.su/

Условия

Эти пользователи заходят в свои профили, используя веб-браузер, просматривают свои сообщения, а также страницу со случайными "твитами" ("/?random"). Кроме того они ходят по увиденным ссылкам, но только ведущим на это приложение и не больше одного раза по одной и той же ссылке. DOMGr00se использует Firefox, admin использует Chrome.

Экстра

Отдельный дополнительный бонус тому, кто первым поменяет пароль админа на http://pwnitter1337.hse.seclab.cs.msu.su/. В качестве доказательства надо прислать мне новый пароль, а также скриншот админки.