2 Мар, 2013
15 комментариев

ФЕЛ проводит среди школьников квест на безопасность интернет-приложений

На этой неделе на встрече научно-исследовательской группы наш научный руководитель, зам. декана, рассказал о проводимом на Facebook под девизом «Узнай, чему тебя научат на ФЕЛ» забавном конкурсе для школьников на знание безопасности интернет-приложений. Главный приз — iPad mini.

Приступить к тесту можно на apps.facebook.com/bezpecnost/.

Идея отличная, даже мне было интересно посидеть полчаса над задачками и без особых затруднений дошел до 6 уровня. На каждую задачу дается ответ в виде строки. Обычно дается подсказка от хакера в углу экрана.

В переводе на русский задачи следующие:

  1. Ты нашел в Интернете приложение, использующее авторизацию с помощью логина и пароля. Приложение плохо защищено и ты хочешь показать, как можно получить логин и пароль для входа в защищенную часть приложения и обратить на это внимание разработчика.
    • Подсказка: В первую очередь внимательно прочти исходный код страницы. Это должно быть первым шагом при тестировании угроз.
    • Полезные навыки: Основы HTML, внимательность.
  2. Один из учеников из другого класса создал сайт для своих одноклассников. Сайт содержит материалы, которые могли бы тебе помочь в учебе в школе, но он не хочет давать тебе доступ. Соответственно, ты решил узнать, какой пароль требуется для доступа к документам.
    • Подсказка:Все выглядит так, будто разработчик допустил элементарную ошибку при разработке авторизации.
    • Полезные навыки: HTML, знание принципов работы веб-форм
  3. Ученик из предыдущего задания в конечном счете решил, что защитит свой сайт лучше и в конечном счете кроме прочего добавил функцию, которая на эл. почту администратора приложения отправляет забытый пароль. Но даже теперь не защищена хорошо и ты решил вновь узнать пароль. Методом перебора ты узнал, что логин — admin.
    • Подсказка: Ты обнаружил, что пароль отправляется на адрес administrator@example.com. Если бы тебе удалось подменить адрес электронной почты, то смог бы легко получить пароль.
    • Полезные навыки: HTML, знание принципов работы веб-форм
  4. Твой опытный друг обнаружил, что ты интересуешься тестированием безопасности сайтов, показал тебе сайт со слабой безопасностью и предложил тебе, что можешь попробовать получить пароль для доступа к приватной части сайта. Ты с радостью его предложение принял.
    • Подсказка: Где-то подобное окно я уже видел. Видимо, речь идет о JavaScript-функции prompt().
    • Полезные навыки: HTML, JavaScript, основы программирования
  5. Ты исследовал безопасность сайта и обнаружил, что в качестве защиты использовано шифрование, которое определенным способом шифрует пароль для входа в приватную секцию сайта. К счастью, тебе удалось получить зашифрованный пароль, «hAsUHvvbRXuvHOI», остается его расшифровать. Оказалось, что использованная для шифрования программа общедоступна, поэтому можешь использовать его.
    • Подсказка: С помощью программы можешь определить механизм поведения алгоритма и, соответственно, в конечном счете расшифровать пароль.
    • Полезные навыки: Основы шифрования, терпение.
  6. Ты теперь перед следующим способом обезопасить закрытые части сайта. Компании недооценивают аспект безопасности, поэтому возможно получить доступ к клиент-центру и в том случае, если не являешься клиентом фирмы. Найди способ, как обойти систему авторизации и обратить на это внимание фирмы.
    • Подсказка: Я испробовал всевозможные способы обхода авторизации, но мне ничего не удалось.
    • Полезные навыки: Поддержка веб-приложений, JavaScript, инструменты для разработчиков

К сожалению, в правилах проведения указано, что победиль должен быть учеником средней школы и иметь возраст от 15 до 20 лет. К сожалению, мне за iPad биться бесполезно.

Буду рад, если в комментариях выложите остальные задачки, на русский я могу сам перевести.

15 комментариев

  • 7 просто адовый.
    http://rghost.ru/44237271/image.png

    • скажи плс в шестом точно надо джаваскрипт использовать а не пхп?

      • Именно джаваскрипт, а также смотри в сторону печенек.

  • Мда, похоже у меня не так уж и хорошо с программированием :\ Дальше 2-ого вопроса не ушёл, хотя первый сделал очень быстро. Надеялся, что если будет чутка проще, то выйграю и будет бонус при поступлении :\

    • Не переживайте, задания, по большей части, не на программирование, а на внимательность 🙂
      Бонусов при постулении, скорее всего, не будет D:

  • Самое, что примечательное, зам.декана(Doc.Jelinek), который преподает у нас лекции по программированию, сказал, что он дошел только до 3го уровня =) Так что программирование здесь и вправду ни при чем.

    • Он у меня — научный руководитель. Нам он сказал, что дошел до уровня с шифрованием, это выше.

      Также стоит понимать, что ни я, ни явно он не подходим к этому конкурсу серьезно. Что с ходу получается — то делаем. Лично я сходу дошел до 6 задания, а ковыряться лень. Я не сомневаюсь, что если сяду и пару часов посижу, то пройду все. Но зачем тратить время, если ничему новому не научишься, да и дел невпроворот.

  • Поступающий на ФЕЛ должен это знать или это входит в курс обучения?

    • Не должен, это бонусные задания для интересующихся. Поэтому и написано «чему научат», а не «что вы уже должны знать».

  • Илья, что делать после прохождения?

Оставить комментарий

Рекомендую блоги

  • EngineerAbroad — блог семейной пары о работе инженерами в Чехии после ФЕЛ ЧВУТ
  • ВШХТ.ру — блог об учебе в ВШХТ (ведущем хим. вузе)
  • Магистратура на ФЕЛ ЧВУТ — блог семейной пары об учебе в магистратуре ФЕЛ ЧВУТ
  • Хочу в Прагу — блог студента бакалавриата машиностроительного факультета

ЧВУТ.ру рекомендует

В целом для подготовки к поступлению в ЧВУТ мы рекомендуем курсы чешского и проф. предметов в Подебрадах, на архитектуру - спецкурс в пражском центре «Кристалл».