ФЕЛ проводит среди школьников квест на безопасность интернет-приложений
На этой неделе на встрече научно-исследовательской группы наш научный руководитель, зам. декана, рассказал о проводимом на Facebook под девизом «Узнай, чему тебя научат на ФЕЛ» забавном конкурсе для школьников на знание безопасности интернет-приложений. Главный приз — iPad mini.
Приступить к тесту можно на apps.facebook.com/bezpecnost/.
Идея отличная, даже мне было интересно посидеть полчаса над задачками и без особых затруднений дошел до 6 уровня. На каждую задачу дается ответ в виде строки. Обычно дается подсказка от хакера в углу экрана.
В переводе на русский задачи следующие:
- Ты нашел в Интернете приложение, использующее авторизацию с помощью логина и пароля. Приложение плохо защищено и ты хочешь показать, как можно получить логин и пароль для входа в защищенную часть приложения и обратить на это внимание разработчика.
- Подсказка: В первую очередь внимательно прочти исходный код страницы. Это должно быть первым шагом при тестировании угроз.
- Полезные навыки: Основы HTML, внимательность.
- Один из учеников из другого класса создал сайт для своих одноклассников. Сайт содержит материалы, которые могли бы тебе помочь в учебе в школе, но он не хочет давать тебе доступ. Соответственно, ты решил узнать, какой пароль требуется для доступа к документам.
- Подсказка:Все выглядит так, будто разработчик допустил элементарную ошибку при разработке авторизации.
- Полезные навыки: HTML, знание принципов работы веб-форм
- Ученик из предыдущего задания в конечном счете решил, что защитит свой сайт лучше и в конечном счете кроме прочего добавил функцию, которая на эл. почту администратора приложения отправляет забытый пароль. Но даже теперь не защищена хорошо и ты решил вновь узнать пароль. Методом перебора ты узнал, что логин — admin.
- Подсказка: Ты обнаружил, что пароль отправляется на адрес administrator@example.com. Если бы тебе удалось подменить адрес электронной почты, то смог бы легко получить пароль.
- Полезные навыки: HTML, знание принципов работы веб-форм
- Твой опытный друг обнаружил, что ты интересуешься тестированием безопасности сайтов, показал тебе сайт со слабой безопасностью и предложил тебе, что можешь попробовать получить пароль для доступа к приватной части сайта. Ты с радостью его предложение принял.
- Подсказка: Где-то подобное окно я уже видел. Видимо, речь идет о JavaScript-функции prompt().
- Полезные навыки: HTML, JavaScript, основы программирования
- Ты исследовал безопасность сайта и обнаружил, что в качестве защиты использовано шифрование, которое определенным способом шифрует пароль для входа в приватную секцию сайта. К счастью, тебе удалось получить зашифрованный пароль, «hAsUHvvbRXuvHOI», остается его расшифровать. Оказалось, что использованная для шифрования программа общедоступна, поэтому можешь использовать его.
- Подсказка: С помощью программы можешь определить механизм поведения алгоритма и, соответственно, в конечном счете расшифровать пароль.
- Полезные навыки: Основы шифрования, терпение.
- Ты теперь перед следующим способом обезопасить закрытые части сайта. Компании недооценивают аспект безопасности, поэтому возможно получить доступ к клиент-центру и в том случае, если не являешься клиентом фирмы. Найди способ, как обойти систему авторизации и обратить на это внимание фирмы.
- Подсказка: Я испробовал всевозможные способы обхода авторизации, но мне ничего не удалось.
- Полезные навыки: Поддержка веб-приложений, JavaScript, инструменты для разработчиков
К сожалению, в правилах проведения указано, что победиль должен быть учеником средней школы и иметь возраст от 15 до 20 лет. К сожалению, мне за iPad биться бесполезно.
Буду рад, если в комментариях выложите остальные задачки, на русский я могу сам перевести.
15 комментариев
Оставить комментарий
Рубрики
- Без рубрики (3)
- Бюрократия (19)
- Досуг (7)
- Еда (1)
- Жилье (11)
- Обучение (25)
- Сайт (1)
- Связь (3)
- Транспорт (1)
- Чехия (2)
Рекомендую блоги
- EngineerAbroad — блог семейной пары о работе инженерами в Чехии после ФЕЛ ЧВУТ
- ВШХТ.ру — блог об учебе в ВШХТ (ведущем хим. вузе)
- Магистратура на ФЕЛ ЧВУТ — блог семейной пары об учебе в магистратуре ФЕЛ ЧВУТ
- Хочу в Прагу — блог студента бакалавриата машиностроительного факультета
Новые комментарии
ЧВУТ.ру рекомендует
Свежее у друзей
- «Хорошие русские» и их петиции 29.10.2024
- Пособие для студентов с временной защитой 06.10.2024
- Временная защита для украинских студентов 15.09.2024
- Замена замка и единый ключ на несколько замков 01.09.2024
- Новый забор 04.08.2024
7 просто адовый.
http://rghost.ru/44237271/image.png
скажи плс в шестом точно надо джаваскрипт использовать а не пхп?
Именно джаваскрипт, а также смотри в сторону печенек.
8 веселый.
http://s017.radikal.ru/i416/1303/57/4ea72282de2f.jpg
9 лал.
http://s019.radikal.ru/i632/1303/20/7a6494cb2bca.jpg
Мда, похоже у меня не так уж и хорошо с программированием :\ Дальше 2-ого вопроса не ушёл, хотя первый сделал очень быстро. Надеялся, что если будет чутка проще, то выйграю и будет бонус при поступлении :\
Не переживайте, задания, по большей части, не на программирование, а на внимательность 🙂
Бонусов при постулении, скорее всего, не будет D:
Самое, что примечательное, зам.декана(Doc.Jelinek), который преподает у нас лекции по программированию, сказал, что он дошел только до 3го уровня =) Так что программирование здесь и вправду ни при чем.
Он у меня — научный руководитель. Нам он сказал, что дошел до уровня с шифрованием, это выше.
Также стоит понимать, что ни я, ни явно он не подходим к этому конкурсу серьезно. Что с ходу получается — то делаем. Лично я сходу дошел до 6 задания, а ковыряться лень. Я не сомневаюсь, что если сяду и пару часов посижу, то пройду все. Но зачем тратить время, если ничему новому не научишься, да и дел невпроворот.
Поступающий на ФЕЛ должен это знать или это входит в курс обучения?
Не должен, это бонусные задания для интересующихся. Поэтому и написано «чему научат», а не «что вы уже должны знать».
10. http://watality.narod2.ru/cvut_facebook/9.png
Илья, что делать после прохождения?
А появилось какое-то сообщение? Я думаю, что отправят какое-то сообщение.
http://s55.radikal.ru/i150/1303/d9/333e3583b216.png