Безопасность компьютерных систем 2017/Задание 2 1 — различия между версиями
Asterite (обсуждение | вклад) (Новая страница: «== Баллы == == Формулировка == == Критерии ==») |
Asterite (обсуждение | вклад) |
||
Строка 1: | Строка 1: | ||
+ | == Описание == | ||
+ | |||
+ | Задания по теме "Веб-уязвимости" выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из букв и цифр английского алфавита, а также нижних подчеркиваний ("_"). | ||
+ | |||
+ | Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main__</code> | ||
+ | |||
== Баллы == | == Баллы == | ||
+ | Флаги могут иметь разную стоимость. Суммарно все флаги обязательной части будут давать 2 балла. | ||
+ | |||
+ | == Сдача флагов == | ||
+ | |||
+ | Флаги нужно сдавать в [http://dashboard.hse.seclab.cs.msu.ru/ принимающую систему]. При сдаче флага вам надо указывать свое настоящее имя и фамилию, чтобы мы потом знали кому зачесть набранные баллы. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения). | ||
+ | |||
+ | == Задание по первым двум темам == | ||
+ | |||
+ | В это задание входит '''5''' обязательных флагов, за них суммарно дается '''1.5''' балла. Для получения этих обязательных флагов вам будет нужно эксплуатировать XSS и SQL injection. | ||
+ | |||
+ | Для получения первого флага нужно проэксплуатировать SQL injection на любом из этих двух сайтов (флаг в них одинаковый, он в пароле админа): | ||
+ | * http://sql-first.hse.seclab.cs.msu.ru/ ([http://sql-first.hse.seclab.cs.msu.ru/source.zip Исходный код]) | ||
+ | или | ||
+ | * http://sql-second.hse.seclab.cs.msu.ru/ ([http://sql-second.hse.seclab.cs.msu.ru/source.zip Исходный код]). | ||
+ | |||
+ | Второй флаг надо вытащить из http://sql-third.hse.seclab.cs.msu.ru/ ([http://sql-third.hse.seclab.cs.msu.ru/source.zip Исходный код]), флаг там же. | ||
+ | |||
+ | В этих первых трех сайтах (sql-first, sql-second, sql-third) нет флагов, кроме обязательных. | ||
− | + | Остальные флаги ждут вас в [http://internet-bank.hse.seclab.cs.msu.ru/ этом интернет-банке] и [http://corporate.hse.seclab.cs.msu.ru/ этом корпоративном сайте]. | |
+ | == Поломка заданий == | ||
− | + | Поломка не исключена, если задание не работает, или вы думаете что что-то работает не так, как должно, пишите мне, моя почта asterite@seclab.cs.msu.su. |
Версия 04:55, 25 октября 2017
Описание
Задания по теме "Веб-уязвимости" выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из букв и цифр английского алфавита, а также нижних подчеркиваний ("_").
Флаги, входящие в обязательную часть, будут начинаться с префикса main__
Баллы
Флаги могут иметь разную стоимость. Суммарно все флаги обязательной части будут давать 2 балла.
Сдача флагов
Флаги нужно сдавать в принимающую систему. При сдаче флага вам надо указывать свое настоящее имя и фамилию, чтобы мы потом знали кому зачесть набранные баллы. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).
Задание по первым двум темам
В это задание входит 5 обязательных флагов, за них суммарно дается 1.5 балла. Для получения этих обязательных флагов вам будет нужно эксплуатировать XSS и SQL injection.
Для получения первого флага нужно проэксплуатировать SQL injection на любом из этих двух сайтов (флаг в них одинаковый, он в пароле админа):
или
Второй флаг надо вытащить из http://sql-third.hse.seclab.cs.msu.ru/ (Исходный код), флаг там же.
В этих первых трех сайтах (sql-first, sql-second, sql-third) нет флагов, кроме обязательных.
Остальные флаги ждут вас в этом интернет-банке и этом корпоративном сайте.
Поломка заданий
Поломка не исключена, если задание не работает, или вы думаете что что-то работает не так, как должно, пишите мне, моя почта asterite@seclab.cs.msu.su.