🏴☠️ CTF web — blogger
Разбираем двенадцатую задачку из нашего соревнования CTF. Задание называется blogger, дают аж 2000 баллов за флаг, простой она точно не будет.
В задании есть подсказка, что уязвимость явно не одна, и первая найденная не поможет решить задачку. Нам встретятся следующие уязвимости:
Path Traversal — получение доступа к файлам и каталогам, которые расположены вне пределов, определенных конфигурацией. Путем манипулирования переменными, которые указывают на положение файлов, с помощью последовательностей "../" и их вариаций, может быть получен доступ к любым файлам и каталогам, имеющимся в системе.
Уязвимость хеш-функции. Атакующий может вычислить секретный ключ, зная алгоритм шифрования и исходные значения.
Flask — фреймворк для создания веб-приложений на языке программирования Python, использующий набор инструментов Werkzeug, а также шаблонизатор Jinja2. Относится к категории так называемых микрофреймворков — минималистичных каркасов веб-приложений, сознательно предоставляющих лишь самые базовые возможности.
#ctf #security #web
https://internet-lab.ru/ctf_web_blogger
Разбираем двенадцатую задачку из нашего соревнования CTF. Задание называется blogger, дают аж 2000 баллов за флаг, простой она точно не будет.
В задании есть подсказка, что уязвимость явно не одна, и первая найденная не поможет решить задачку. Нам встретятся следующие уязвимости:
Path Traversal — получение доступа к файлам и каталогам, которые расположены вне пределов, определенных конфигурацией. Путем манипулирования переменными, которые указывают на положение файлов, с помощью последовательностей "../" и их вариаций, может быть получен доступ к любым файлам и каталогам, имеющимся в системе.
Уязвимость хеш-функции. Атакующий может вычислить секретный ключ, зная алгоритм шифрования и исходные значения.
Flask — фреймворк для создания веб-приложений на языке программирования Python, использующий набор инструментов Werkzeug, а также шаблонизатор Jinja2. Относится к категории так называемых микрофреймворков — минималистичных каркасов веб-приложений, сознательно предоставляющих лишь самые базовые возможности.
#ctf #security #web
https://internet-lab.ru/ctf_web_blogger
internet-lab.ru
CTF web — blogger | internet-lab.ru
Разбираем двенадцатую задачку из нашего соревнования CTF. Задание называется blogger, дают аж 2000 баллов за флаг, простой она точно не будет.
🔥1
🏴☠️ CTF — PHP - Remote Xdebug
На прошлых выходных хотел по-быстрому решить задачку по информационной безопасности web-серверов и написать статью. Но не тут-то было. Задачка с портала root-me.org, называется "PHP - Remote Xdebug". За решение задачки дают 25 баллов, средний уровень.
С этой задачей я застрял на целую неделю, только вчера успешно завершил. Самое интересное, с самого начала было понятно где находится уязвимость, однако, добраться до неё оказалось не просто. Люблю такие задачи, когда узнаёшь что-то новое.
#ctf #security #web #php
https://internet-lab.ru/ctf_remote_xdebug
На прошлых выходных хотел по-быстрому решить задачку по информационной безопасности web-серверов и написать статью. Но не тут-то было. Задачка с портала root-me.org, называется "PHP - Remote Xdebug". За решение задачки дают 25 баллов, средний уровень.
С этой задачей я застрял на целую неделю, только вчера успешно завершил. Самое интересное, с самого начала было понятно где находится уязвимость, однако, добраться до неё оказалось не просто. Люблю такие задачи, когда узнаёшь что-то новое.
#ctf #security #web #php
https://internet-lab.ru/ctf_remote_xdebug
internet-lab.ru
CTF — PHP - Remote Xdebug | internet-lab.ru
Задачка с портала root-me.org, называется "PHP - Remote Xdebug". За решение задачки дают 25 баллов, средний уровень.
👍1
🏴☠️ CTF — backup file
Сегодня решим задачку по информационной безопасности web-серверов. Задачка с портала root-me.org, называется "Backup file". За решение задачки дают 15 баллов.
Нам встретится уязвимость с возможностью доступа к файлам бэкапа текстовых редакторов.
Многие текстовые редакторы в процессе редактирования делают резервные копии файлов, сохраняя их с другим расширением.
#ctf #web #security
https://internet-lab.ru/ctf_backup_file
Сегодня решим задачку по информационной безопасности web-серверов. Задачка с портала root-me.org, называется "Backup file". За решение задачки дают 15 баллов.
Нам встретится уязвимость с возможностью доступа к файлам бэкапа текстовых редакторов.
Многие текстовые редакторы в процессе редактирования делают резервные копии файлов, сохраняя их с другим расширением.
#ctf #web #security
https://internet-lab.ru/ctf_backup_file
internet-lab.ru
CTF — backup file | internet-lab.ru
Сегодня решим задачку по информационной безопасности web-серверов. Задачка с портала root-me.org, называется "Backup file".
🏴☠️ CTF — File upload - Double extensions
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "File upload - Double extensions". За решение задачки дают 20 баллов, сложнее начального уровня.
В качестве задания предлагается взломать фотогалерею, загрузив код PHP. Флаг следует искать в корневом файле .passwd.
Нам предлагают воспользоваться уязвимостью при загрузке файлов, связанной с двойным расширением файла. На самом деле понятия "двойное расширение" не существует, расширение только одно, то что идёт за последней точкой. Просто так удобнее озвучивать проблему.
#ctf #security #web
https://internet-lab.ru/ctf_file_upload_double_extensions
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "File upload - Double extensions". За решение задачки дают 20 баллов, сложнее начального уровня.
В качестве задания предлагается взломать фотогалерею, загрузив код PHP. Флаг следует искать в корневом файле .passwd.
Нам предлагают воспользоваться уязвимостью при загрузке файлов, связанной с двойным расширением файла. На самом деле понятия "двойное расширение" не существует, расширение только одно, то что идёт за последней точкой. Просто так удобнее озвучивать проблему.
#ctf #security #web
https://internet-lab.ru/ctf_file_upload_double_extensions
internet-lab.ru
CTF — File upload - Double extensions | internet-lab.ru
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "File upload - Double extensions". За решение задачки дают 20 баллов, сложнее начального уровня.
👍2
🏴☠️ CTF — Flask - Unsecure session
Приветствую юных белых хакеров. Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "Flask - Unsecure session". За решение задачки дают 20 баллов, лёгкий уровень.
Из задачи сразу понимаем, что дело придётся иметь с Flask.
Flask — лёгкий и мощный фреймворк для создания веб-приложений на Python, использующий набор инструментов Werkzeug, а также шаблонизатор Jinja2.
Веб разработчик говорит вам, что нет смысла использовать сложные секретные ключи, докажите ему, что он не прав.
#ctf #security #web
https://internet-lab.ru/ctf_flask_unsecure_session
Приветствую юных белых хакеров. Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "Flask - Unsecure session". За решение задачки дают 20 баллов, лёгкий уровень.
Из задачи сразу понимаем, что дело придётся иметь с Flask.
Flask — лёгкий и мощный фреймворк для создания веб-приложений на Python, использующий набор инструментов Werkzeug, а также шаблонизатор Jinja2.
Веб разработчик говорит вам, что нет смысла использовать сложные секретные ключи, докажите ему, что он не прав.
#ctf #security #web
https://internet-lab.ru/ctf_flask_unsecure_session
internet-lab.ru
CTF — Flask - Unsecure session | internet-lab.ru
Приветствую юных белых хакеров. Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "Flask - Unsecure session". За решение задачки дают 20 баллов, лёгкий уровень.
👍1
🏴☠️ CTF — SQL injection - Filter bypass
Всем привет, сегодня захотелось решить задачку на информационную безопасность web-серверов. Обычно я по порядку решаю задачки с портала root-me.org, но сегодня вдруг заметил, что к сложным задачам я никак не приближаюсь. Пока я решаю одну задачу, добавляется парочка новых...
Так не пойдёт!
Повышаем уровень сложности до максимума и берём самую сложную задачу, называется "SQL injection - Filter bypass". За решение задачки дают 80 баллов, уровень HARD 🌋.
По названию становится понятно, что иметь дело придётся с SQL инъекцией. В описании просят вытащить пароль администратора.
SQL injection — это атака на базу данных, которая позволит выполнить некоторое действие, которое не планировалось создателем скрипта. Атака осуществляется путём внедрения (инъекции) стороннего кода в SQL запрос.
В подсказках много ссылок на статьи по SQL инъекциям.
#ctf #security #sql
https://internet-lab.ru/ctf_sqli_filter_bypass
Всем привет, сегодня захотелось решить задачку на информационную безопасность web-серверов. Обычно я по порядку решаю задачки с портала root-me.org, но сегодня вдруг заметил, что к сложным задачам я никак не приближаюсь. Пока я решаю одну задачу, добавляется парочка новых...
Так не пойдёт!
Повышаем уровень сложности до максимума и берём самую сложную задачу, называется "SQL injection - Filter bypass". За решение задачки дают 80 баллов, уровень HARD 🌋.
По названию становится понятно, что иметь дело придётся с SQL инъекцией. В описании просят вытащить пароль администратора.
SQL injection — это атака на базу данных, которая позволит выполнить некоторое действие, которое не планировалось создателем скрипта. Атака осуществляется путём внедрения (инъекции) стороннего кода в SQL запрос.
В подсказках много ссылок на статьи по SQL инъекциям.
#ctf #security #sql
https://internet-lab.ru/ctf_sqli_filter_bypass
internet-lab.ru
CTF — SQL injection - Filter bypass | internet-lab.ru
Пока я решаю одну задачу, добавляется парочка новых... Так не пойдёт, повышаем уровень сложности до максимума и берём самую сложную задачу, называется "SQL injection - Filter bypass". За решение задачки дают 80 баллов, уровень HARD.
👍2
🏴☠️ CTF — API - Broken Access
Перезагружаем мозг. Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "API - Broken Access". За решение задачки дают 15 баллов, лёгкий уровень.
#ctf #security #web
https://internet-lab.ru/ctf_api_broken_access
Перезагружаем мозг. Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "API - Broken Access". За решение задачки дают 15 баллов, лёгкий уровень.
#ctf #security #web
https://internet-lab.ru/ctf_api_broken_access
internet-lab.ru
CTF — API - Broken Access | internet-lab.ru
Перезагружаем мозг. Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "API - Broken Access". За решение задачки дают 15 баллов, лёгкий уровень.
🔥5
🏴☠️ CTF — HTML
Самый начальный уровень задач по Информационной Безопасности. Разминаемся.
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTML". За решение задачки дают 5 баллов, так что сложностей быть не должно.
То, с чем нам предстоит столкнуться, нельзя даже назвать уязвимостью. Это, скорее, безалаберность разработчика. Разработчики часто забывают секретные данные в комментариях.
#ctf #security #web
https://internet-lab.ru/ctf_html
Самый начальный уровень задач по Информационной Безопасности. Разминаемся.
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTML". За решение задачки дают 5 баллов, так что сложностей быть не должно.
То, с чем нам предстоит столкнуться, нельзя даже назвать уязвимостью. Это, скорее, безалаберность разработчика. Разработчики часто забывают секретные данные в комментариях.
#ctf #security #web
https://internet-lab.ru/ctf_html
internet-lab.ru
CTF — HTML | internet-lab.ru
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTML". За решение задачки дают 5 баллов, так что сложностей быть не должно.
🏴☠️ CTF — HTTP open redirect
Привет, юный безопасник! Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - Open redirect". За решение задачки дают 10 баллов, низкая сложность.
#ctf #security #web
https://internet-lab.ru/ctf_http_open_redirect
Привет, юный безопасник! Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - Open redirect". За решение задачки дают 10 баллов, низкая сложность.
#ctf #security #web
https://internet-lab.ru/ctf_http_open_redirect
internet-lab.ru
CTF — HTTP open redirect | internet-lab.ru
Привет, юный безопасник! Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - Open redirect". За решение задачки дают 10 баллов, низкая сложность.
👍1
🏴☠️ CTF — Python - Server-side Template Injection Introduction
Отвлечёмся от работы, переключимся на решение задач по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "Python - Server-side Template Injection Introduction". За решение задачки дают 25 баллов, средний уровень.
Сегодня мы встретимся с опасной уязвимостью типа SSTI.
Server-side Template Injection (SSTI) — внедрение шаблонов на стороне сервера. Внедрение шаблонов на стороне сервера — это тип уязвимости, которая может возникнуть в веб-приложениях, когда злоумышленник может внедрить вредоносный код в шаблон на стороне сервера. (Капитан Очевидность одобряет.)
Обычно код выполняется на стороне сервера и генерирует динамический контент для браузера пользователя. При атаке SSTI злоумышленник может внедрить свой код в шаблон на стороне сервера и выполнить произвольный код. Собственно, и код выполнит и результат в браузере увидит.
По условию задачи нам предложат web-сервис, который генерирует веб-страничку. Нужно использовать этот сервис для получения флага.
#ctf #security #web
https://internet-lab.ru/ctf_python_ssti
Отвлечёмся от работы, переключимся на решение задач по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "Python - Server-side Template Injection Introduction". За решение задачки дают 25 баллов, средний уровень.
Сегодня мы встретимся с опасной уязвимостью типа SSTI.
Server-side Template Injection (SSTI) — внедрение шаблонов на стороне сервера. Внедрение шаблонов на стороне сервера — это тип уязвимости, которая может возникнуть в веб-приложениях, когда злоумышленник может внедрить вредоносный код в шаблон на стороне сервера. (Капитан Очевидность одобряет.)
Обычно код выполняется на стороне сервера и генерирует динамический контент для браузера пользователя. При атаке SSTI злоумышленник может внедрить свой код в шаблон на стороне сервера и выполнить произвольный код. Собственно, и код выполнит и результат в браузере увидит.
По условию задачи нам предложат web-сервис, который генерирует веб-страничку. Нужно использовать этот сервис для получения флага.
#ctf #security #web
https://internet-lab.ru/ctf_python_ssti
internet-lab.ru
CTF — Python - Server-side Template Injection Introduction | internet-lab.ru
Отвлечёмся от работы, переключимся на решение задач по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "Python - Server-side Template Injection Introduction". За решение задачки дают 25 баллов, средний уровень.
👍1
🏴☠️ CTF — User-Agent
Заскучали? Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "User-agent". За решение задачки дают 10 баллов, начальная сложность.
#ctf #security #web
https://internet-lab.ru/ctf_user_agent
Заскучали? Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "User-agent". За решение задачки дают 10 баллов, начальная сложность.
#ctf #security #web
https://internet-lab.ru/ctf_user_agent
internet-lab.ru
CTF — User-Agent | internet-lab.ru
Заскучали? Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "User-agent". За решение задачки дают 10 баллов, начальная сложность.
🏴☠️ CTF — Weak password
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала roo-tme.org, называется "Weak password". За решение задачки дают 10 баллов, ничего сложного.
🔸🔸🔸
— Пароль не должен быть таким же как логин.
— Пароль должен быть длинным.
— Можно воспользоваться генератором паролей.
Для надёжности пароль может содержать заглавные и строчные буквы, цифры, пробелы и специальные — символы.
— Пароль не должен содержать личную информацию, которую легко узнать. Например: имя, фамилию или дату рождения, девичью фамилию.
— Пароль не должен содержать простые слова, фразы, устойчивые выражения и наборы символов, которые легко подобрать. 123456, QWERTY.Пароль нужно периодически менять.
— Никому не говорите свой пароль.
— Пользуйтесь средствами двухфакторной аутентификации.
— Используйте разные пароли для разных сервисов.
— Нигде в Интернете не проверяйте свой пароль на сложность или не проверяйте на содержание в различных базах украденных паролей.
— Обеспечьте себе возможность восстановления аккаунта в случае, если пароль украдут.
— Пароль "ВБулькеБонусКартонныйТыщщаДва " легко придумать, просто запомнить, практически невозможно взломать.
#security #ctf #web
https://internet-lab.ru/ctf_weak_password
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала roo-tme.org, называется "Weak password". За решение задачки дают 10 баллов, ничего сложного.
🔸🔸🔸
— Пароль не должен быть таким же как логин.
— Пароль должен быть длинным.
— Можно воспользоваться генератором паролей.
Для надёжности пароль может содержать заглавные и строчные буквы, цифры, пробелы и специальные — символы.
— Пароль не должен содержать личную информацию, которую легко узнать. Например: имя, фамилию или дату рождения, девичью фамилию.
— Пароль не должен содержать простые слова, фразы, устойчивые выражения и наборы символов, которые легко подобрать. 123456, QWERTY.Пароль нужно периодически менять.
— Никому не говорите свой пароль.
— Пользуйтесь средствами двухфакторной аутентификации.
— Используйте разные пароли для разных сервисов.
— Нигде в Интернете не проверяйте свой пароль на сложность или не проверяйте на содержание в различных базах украденных паролей.
— Обеспечьте себе возможность восстановления аккаунта в случае, если пароль украдут.
— Пароль "
#security #ctf #web
https://internet-lab.ru/ctf_weak_password
internet-lab.ru
CTF — Weak password | internet-lab.ru
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "Weak password". За решение задачки дают 10 баллов, ничего сложного.
🏴☠️ CTF — File upload - ZIP
Тренируем мозг, продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "File upload - ZIP". За решение задачки дают 30 баллов, средний уровень.
Наша цель — прочитать содержимое файла index.php. Всё понятно.
В процессе поиска решения мы столкнёмся в уязвимостью Zip-symlink. Суть уязвимости заключается в том, что в архив можно вложить символьную ссылку, которая ссылается на нужный нам файл системы. При распаковке архива ссылка будет указывать на файл, прописанный в ней. Таким образом можно получить доступ к любому файлу на уязвимом сервере.
#ctf #security #web
https://internet-lab.ru/ctf_file_upload_zip
Тренируем мозг, продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "File upload - ZIP". За решение задачки дают 30 баллов, средний уровень.
Наша цель — прочитать содержимое файла index.php. Всё понятно.
В процессе поиска решения мы столкнёмся в уязвимостью Zip-symlink. Суть уязвимости заключается в том, что в архив можно вложить символьную ссылку, которая ссылается на нужный нам файл системы. При распаковке архива ссылка будет указывать на файл, прописанный в ней. Таким образом можно получить доступ к любому файлу на уязвимом сервере.
#ctf #security #web
https://internet-lab.ru/ctf_file_upload_zip
internet-lab.ru
CTF — File upload - ZIP | internet-lab.ru
Тренируем мозг, продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "File upload - ZIP".
👍1🔥1
🏴☠️ CTF — HTTP Directory indexing
Разгружаем мозг.
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - Directory indexing". За решение задачки дают 15 баллов, чуть посложнее начального уровня.
#web #ctf #security
https://internet-lab.ru/ctf_http_directory_indexing
Разгружаем мозг.
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - Directory indexing". За решение задачки дают 15 баллов, чуть посложнее начального уровня.
#web #ctf #security
https://internet-lab.ru/ctf_http_directory_indexing
internet-lab.ru
CTF — HTTP Directory indexing | internet-lab.ru
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - Directory indexing". За решение задачки дают 15 баллов, чуть посложнее начального уровня.
👍1
🏴☠️ CTF — HTTP Headers
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - Headers". За решение задачки дают 15 баллов, чуть посложнее начального уровня.
#ctf #security #web
https://internet-lab.ru/ctf_http_headers
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - Headers". За решение задачки дают 15 баллов, чуть посложнее начального уровня.
#ctf #security #web
https://internet-lab.ru/ctf_http_headers
internet-lab.ru
CTF — HTTP Headers | internet-lab.ru
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - Headers". За решение задачки дают 15 баллов, чуть посложнее начального уровня.
🏴☠️ CTF — HTTP POST
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - POST". За решение задачки дают 15 баллов, чуть посложнее начального уровня.
Задание: Find a way to beat the top score! Найдите способ побить рекорд! Также предлагают ознакомиться с тем, что же такое POST-запрос.
POST — один из многих методов запроса, поддерживаемых HTTP протоколом. POST предназначен для передачи данных в теле запроса на сервер. Часто используется для загрузки файла на сервер или передачи данных заполненной пользователем формы.
#ctf #security #web
https://internet-lab.ru/ctf_http_post
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - POST". За решение задачки дают 15 баллов, чуть посложнее начального уровня.
Задание: Find a way to beat the top score! Найдите способ побить рекорд! Также предлагают ознакомиться с тем, что же такое POST-запрос.
POST — один из многих методов запроса, поддерживаемых HTTP протоколом. POST предназначен для передачи данных в теле запроса на сервер. Часто используется для загрузки файла на сервер или передачи данных заполненной пользователем формы.
#ctf #security #web
https://internet-lab.ru/ctf_http_post
internet-lab.ru
CTF — HTTP POST | internet-lab.ru
Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - POST". За решение задачки дают 15 баллов, чуть посложнее начального уровня.
🏴☠️ CTF — SQL injection - Insert
Разминаем мышцы мозга, продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "SQL injection - Insert". За решение задачки дают 40 баллов, средний уровень.
По названию становится понятно, что иметь дело придётся с SQL инъекцией. Причём инъекцию нужно будет делать в момент вставки записи. Задача звучит просто: найди флаг.
SQL injection — это атака на базу данных, которая позволит выполнить некоторое действие, которое не планировалось создателем скрипта. Атака осуществляется путём внедрения (инъекции) стороннего кода в SQL запрос.
#ctf #security #sql
https://internet-lab.ru/ctf_sql_injection_insert
Разминаем мышцы мозга, продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "SQL injection - Insert". За решение задачки дают 40 баллов, средний уровень.
По названию становится понятно, что иметь дело придётся с SQL инъекцией. Причём инъекцию нужно будет делать в момент вставки записи. Задача звучит просто: найди флаг.
SQL injection — это атака на базу данных, которая позволит выполнить некоторое действие, которое не планировалось создателем скрипта. Атака осуществляется путём внедрения (инъекции) стороннего кода в SQL запрос.
#ctf #security #sql
https://internet-lab.ru/ctf_sql_injection_insert
internet-lab.ru
CTF — SQL injection - Insert | internet-lab.ru
Разминаем мышцы мозга, продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "SQL injection - Insert". За решение задачки дают 40 баллов, средний уровень.
🏴☠️ CTF — Flask - Development server
А мы продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "Flask - Development server". За решение задачки дают 30 баллов, средний уровень.
Из названия понятно, что дело придётся иметь с Flask.
Flask — лёгкий и мощный фреймворк для создания веб-приложений на Python, использующий набор инструментов Werkzeug, а также шаблонизатор Jinja2.
Веб разработчик говорит вам, что сайт готов к публикации. Проверьте сайт на безопасность, перед выкаткой в прод. Флаг расположен в директории приложения.
#ctf #security
https://internet-lab.ru/ctf_flask_development_server
А мы продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "Flask - Development server". За решение задачки дают 30 баллов, средний уровень.
Из названия понятно, что дело придётся иметь с Flask.
Flask — лёгкий и мощный фреймворк для создания веб-приложений на Python, использующий набор инструментов Werkzeug, а также шаблонизатор Jinja2.
Веб разработчик говорит вам, что сайт готов к публикации. Проверьте сайт на безопасность, перед выкаткой в прод. Флаг расположен в директории приложения.
#ctf #security
https://internet-lab.ru/ctf_flask_development_server
internet-lab.ru
CTF — Flask - Development server | internet-lab.ru
А мы продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "Flask - Development server". За решение задачки дают 30 баллов, средний уровень.
🏴☠️ CTF — EXIF - Metadata
Пора порешать задачки по информационной безопасности. Сегодня отвлечёмся от защиты web-серверов, уделим внимание другим направлениям, а именно стенографии.
Сегодня задачка с портала root-me.org, называется "EXIF - Metadata". За решение задачки дают 5 баллов, самый начальный ознакомительный уровень.
#ctf #security
https://internet-lab.ru/ctf_exif_metadata
Пора порешать задачки по информационной безопасности. Сегодня отвлечёмся от защиты web-серверов, уделим внимание другим направлениям, а именно стенографии.
Сегодня задачка с портала root-me.org, называется "EXIF - Metadata". За решение задачки дают 5 баллов, самый начальный ознакомительный уровень.
#ctf #security
https://internet-lab.ru/ctf_exif_metadata
internet-lab.ru
CTF — EXIF - Metadata | internet-lab.ru
Пришли выходные, а это значит, что пора порешать задачки по информационной безопасности. Сегодня отвлечёмся от защиты web-серверов, уделим внимание другим направлениям, а именно стенографии. Сегодня задачка с портала root-me.org, называется "EXIF - Metadata".…
👍1
🏴☠️ CTF — GraphQL - Injection
Доброго времени суток. Решил очередную интересную задачку на информационную безопасность web-серверов. Задачка с портала root-me.org, называется "GraphQL - Injection". За решение задачки дают 30 баллов, средний уровень.
С похожей задачкой мы уже сталкивались, это значительно сократило путь к флагу.
Тема, которая рассматривается в этой задаче, весьма интересна с точки зрения безопасности. Речь у нас пойдёт про такую штуку как GraphQL (Graph Query Language).
GraphQL, как пишут на хабре, это последний писк IT-моды. Если вы занимаетесь информационной безопасностью, то хотя бы ознакомиться с данной технологией нужно.
GraphQL — язык запросов данных и язык манипулирования данными с открытым исходным кодом для построения веб ориентированных программных интерфейсов. GraphQL был разработан внутри компании Facebook в 2012 году, а в 2015 году он был выпущен публично.
Ничего сложного в этой технологии нет. Web-разработчики знают что такое REST и что такое API. Допустим, вы в своём проекте обращаетесь к API и получаете данные о пользователе по идентификатору. Вам возвращают фамилию, имя, пол, рост, вес, возраст, имя домашнего питомца, размер... эээ.. не важно. В общем, из всего этого добра вам нужно только имя. Так почему бы не попросить API вернуть вам только имя? Если у вас маленький проект, то в данной технологии особого смысла нет, но если у вас высоконагруженная система, то смысл резко появляется. По сути, GraphQL позволяет гонять по сети только те данные, которые вам нужны.
#ctf #security #web
https://internet-lab.ru/ctf_graphql_injection
Доброго времени суток. Решил очередную интересную задачку на информационную безопасность web-серверов. Задачка с портала root-me.org, называется "GraphQL - Injection". За решение задачки дают 30 баллов, средний уровень.
С похожей задачкой мы уже сталкивались, это значительно сократило путь к флагу.
Тема, которая рассматривается в этой задаче, весьма интересна с точки зрения безопасности. Речь у нас пойдёт про такую штуку как GraphQL (Graph Query Language).
GraphQL, как пишут на хабре, это последний писк IT-моды. Если вы занимаетесь информационной безопасностью, то хотя бы ознакомиться с данной технологией нужно.
GraphQL — язык запросов данных и язык манипулирования данными с открытым исходным кодом для построения веб ориентированных программных интерфейсов. GraphQL был разработан внутри компании Facebook в 2012 году, а в 2015 году он был выпущен публично.
Ничего сложного в этой технологии нет. Web-разработчики знают что такое REST и что такое API. Допустим, вы в своём проекте обращаетесь к API и получаете данные о пользователе по идентификатору. Вам возвращают фамилию, имя, пол, рост, вес, возраст, имя домашнего питомца, размер... эээ.. не важно. В общем, из всего этого добра вам нужно только имя. Так почему бы не попросить API вернуть вам только имя? Если у вас маленький проект, то в данной технологии особого смысла нет, но если у вас высоконагруженная система, то смысл резко появляется. По сути, GraphQL позволяет гонять по сети только те данные, которые вам нужны.
#ctf #security #web
https://internet-lab.ru/ctf_graphql_injection
internet-lab.ru
CTF — GraphQL - Injection | internet-lab.ru
Доброго времени суток. Решил очередную интересную задачку на информационную безопасность web-серверов. Задачка с портала root-me.org, называется "GraphQL - Injection". За решение задачки дают 30 баллов, средний уровень.