Безопасность компьютерных систем 2018/Задание 2 0 0
Бонусное задание на XSS
Баллы
За задание можно получить 0.5 балла (сверх тех 2 баллов, которые будут даваться за основные задания).
Формулировка
Нужно, эксплуатируя XSS, получить доступ к профилям пользователей веб-приложений http://pwnitter.hse.seclab.cs.msu.su/ и http://pwnitter1337.hse.seclab.cs.msu.su/. В скрытых "твитах" в профилях будут флаги: для получения баллов их нужно сдать в принимающую систему. Точнее, флага 2:
- один в профиле пользователя DOMGr00se в http://pwnitter.hse.seclab.cs.msu.su/
- второй в профиле пользователя admin в http://pwnitter1337.hse.seclab.cs.msu.su/
Условия
Эти пользователи заходят в свои профили, используя веб-браузер, просматривают свои сообщения, а также страницу со случайными "твитами" ("/?random"). Кроме того они ходят по увиденным ссылкам, но только ведущим на это приложение и не больше одного раза по одной и той же ссылке. DOMGr00se использует Firefox, admin использует Chrome.
Экстра
Отдельный дополнительный бонус тому, кто первым поменяет пароль админа на http://pwnitter1337.hse.seclab.cs.msu.su/. В качестве доказательства надо прислать мне новый пароль, а также скриншот админки.