Безопасность компьютерных систем 2018/Задание 2 0 0 — различия между версиями
Asterite (обсуждение | вклад) (→Бонусное задание на XSS) |
Asterite (обсуждение | вклад) (→Дедлаин) |
||
(не показаны 3 промежуточные версии этого же участника) | |||
Строка 17: | Строка 17: | ||
=== Экстра === | === Экстра === | ||
− | Отдельный дополнительный бонус тому, кто первым поменяет пароль админа на http://pwnitter1337.hse.seclab.cs.msu.su/. В качестве доказательства надо прислать мне новый пароль, а также скриншот админки. | + | <s>Отдельный дополнительный бонус тому, кто первым поменяет пароль админа на http://pwnitter1337.hse.seclab.cs.msu.su/. В качестве доказательства надо прислать мне новый пароль, а также скриншот админки.</s> |
+ | |||
+ | '''Update''': этот бонус достался Никите Лапкову | ||
=== Дедлаин === | === Дедлаин === | ||
− | Задание можно выполнить до ''' | + | Задание можно выполнить до '''23.59 3 октября'''. |
Текущая версия на 22:08, 3 октября 2018
Бонусное задание на XSS
Баллы
За задание можно получить 0.5 балла (сверх тех 2 баллов, которые будут даваться за основные задания).
Формулировка
Нужно, эксплуатируя XSS, получить доступ к профилям пользователей веб-приложений http://pwnitter.hse.seclab.cs.msu.su/ и http://pwnitter1337.hse.seclab.cs.msu.su/. В скрытых "твитах" в профилях будут флаги: для получения баллов их нужно сдать в принимающую систему. Точнее, флага 2:
- один в профиле пользователя DOMGr00se в http://pwnitter.hse.seclab.cs.msu.su/
- второй в профиле пользователя admin в http://pwnitter1337.hse.seclab.cs.msu.su/
Условия
Эти пользователи заходят в свои профили, используя веб-браузер, просматривают свои сообщения, а также страницу со случайными "твитами" ("/?random"). Кроме того они ходят по увиденным ссылкам, но только ведущим на это приложение и не больше одного раза по одной и той же ссылке. DOMGr00se использует Firefox, admin использует Chrome.
Экстра
Отдельный дополнительный бонус тому, кто первым поменяет пароль админа на http://pwnitter1337.hse.seclab.cs.msu.su/. В качестве доказательства надо прислать мне новый пароль, а также скриншот админки.
Update: этот бонус достался Никите Лапкову
Дедлаин
Задание можно выполнить до 23.59 3 октября.