Безопасность компьютерных систем 2018/Задание 2 0 0 — различия между версиями
Asterite (обсуждение | вклад) (→Экстра) |
Asterite (обсуждение | вклад) (→Дедлаин) |
||
Строка 23: | Строка 23: | ||
=== Дедлаин === | === Дедлаин === | ||
− | Задание можно выполнить до ''' | + | Задание можно выполнить до '''23.59 3 октября'''. |
Текущая версия на 22:08, 3 октября 2018
Бонусное задание на XSS
Баллы
За задание можно получить 0.5 балла (сверх тех 2 баллов, которые будут даваться за основные задания).
Формулировка
Нужно, эксплуатируя XSS, получить доступ к профилям пользователей веб-приложений http://pwnitter.hse.seclab.cs.msu.su/ и http://pwnitter1337.hse.seclab.cs.msu.su/. В скрытых "твитах" в профилях будут флаги: для получения баллов их нужно сдать в принимающую систему. Точнее, флага 2:
- один в профиле пользователя DOMGr00se в http://pwnitter.hse.seclab.cs.msu.su/
- второй в профиле пользователя admin в http://pwnitter1337.hse.seclab.cs.msu.su/
Условия
Эти пользователи заходят в свои профили, используя веб-браузер, просматривают свои сообщения, а также страницу со случайными "твитами" ("/?random"). Кроме того они ходят по увиденным ссылкам, но только ведущим на это приложение и не больше одного раза по одной и той же ссылке. DOMGr00se использует Firefox, admin использует Chrome.
Экстра
Отдельный дополнительный бонус тому, кто первым поменяет пароль админа на http://pwnitter1337.hse.seclab.cs.msu.su/. В качестве доказательства надо прислать мне новый пароль, а также скриншот админки.
Update: этот бонус достался Никите Лапкову
Дедлаин
Задание можно выполнить до 23.59 3 октября.