miércoles, octubre 18, 2006

Las reglas del Juego

Albacete 6:45

Me he caido de la cama, así son algunos días, te levantas a las 5 y media de la mañana y no sabes por qué, bueno, tal vez sea porque el gran carmona, con el que compartía habitación (es decir, el la paga y yo me acoplo) estaba más cansado que de costumbre después de hacerse Madrid-Malaga-Murcia-Albacete de 7 a 7 currando y de 7 a 1 de... bueno, eso, y no quería despertarle sólo por haberme despertado.

Así que....

Las reglas del juego.

Lo que os propongo aquí es un pequeño reto, sobre técnicas de hacking en aplicaciones web. La idea es sencilla, para entrar en una zona privada se nos pide una contraseña, no hay gestión de usuarios, solo se necesita una contraseña. Esta contraseña podría ser cambiada cada semana y enviada a los que tienen privilegios por mail cifrado o dicha de voz, o como nos de la gana, sólo es un juego.

La zona privada a la que se tiene acceso con la contraseña está ubicada dentro de una página web que tiene más información y que en este caso está representado por todos los elementos que se ven en la web. Cualquier elemento que esté en ese mini-web puede ser utilizado para encontrar la palabrita de paso.

La web está en un servidor aislado detrás de un firewall en Informática64, asín que, cualquier escaneo con scanners de vulnerabilidades o similar provocará que se bloqueen ips. Si la tocada de webs es mayor, entonces cortaré el juego y listo calisto.

Para pasar el reto solo se necesita "la herramienta más poderosa jamás creada" y ... un juguetito que sabréis cual es cuando lleguéis a ese punto, observar, repasar un poco los deberes y pensar. Pensar es la clave para este juego. No es trivial pero ni mucho menos es imposible. No me creería que no lo sacase NADIE.

El juego está montado a partir de varias auditorías de seguridad que hemos realizado, de dos en concreto que me gustó mucho resolver y que las he fusionado en una sola, así que si Rodol y yo pudimos, vosotros también.

Iré regalando cosas a los que lo vayan sacando (gall..., camisetas, etc...) pero si alguien detecto que se lo han chivoteado (y lo hace solo por ganar la camiseta) entonces le daré la camiseta y lo pondré en la lista de "copiotas".

En el supuesto caso de que estemos ENTRE DAMISELAS daré la solución en el 2007, pero vamos, que sería de VERGUENZA sus señoritas BLOGGERAS.

Así que nada, a por ello. La URL es: http://www.informatica64.com/retohacking/

PD: Gracias a Alex que se curró la programación del juego.

17 comentarios:

  1. con firefox no rula bien la page :-(

    uiiiii!!! no es contraseña :p

    ander

    ResponderEliminar
  2. Ya, con firefox no se ve bien, aunque se pueden bajar uno a uno los aspx y trabajar sobre ellos directamente. Parece que las pistas tienen su importancia y todos los campos de los formularios. Habrá que desempolvar los conocimientos de ASP.NET :-)

    Gracias maligno por el reto, cuando tenga un rato lo mismo más ;-)

    ResponderEliminar
  3. Hola holita,

    bueno, ya he dicho que lo adapten bien para que podáis jugar desde Firefox.... a ver quién es el primero, no me decepcionéis chavales...

    ResponderEliminar
  4. Yo es que desde que vi operación Swordfish sin chorrocientos monitores y una tía que me la chupe no participo en estos retos. Jeje

    ResponderEliminar
  5. Podrías dar el nombre de los programas que has usado? Uno era el cain que conocemos todos... pero el otro asirius... osirius???

    gracias

    pda: quien es 'Jay' de la foto?

    ResponderEliminar
  6. Hola Benigno!!

    si es por eso no te preocupes que tenemos un servicio a domicilio de accesorios para la distro de la i-pod que .... ;)

    Hola anónimo, supongo que eres de los que habéis estado ayer en Albacete. El otro prog era Odysseus.

    El Jay de la foto es R. Varela, un desarrollador en Google y compañero de aventuras.

    ResponderEliminar
  7. mmm, Benigno ¿te pareces a Hugh Jackman?, pon foto

    Ginger

    ResponderEliminar
  8. Bueno, tiene buena pinta, mejor que los sudokus.
    La "pista" de lo del lazarillo es lo que más me ha ayudado a seguir avanzando hasta la fecha. La considero fundamental.
    Cuando pasemos un tiempo volviéndonos locos y no lo hayamos sacado, algún día nos explicarás cómo se solucionaba no?

    ResponderEliminar
  9. Vamos, vamos, vamos. Si está clarísimo... no seamos nenas!!

    ResponderEliminar
  10. los viewstates poco me han contado tambin es al verdad novato q es uno y se me ocurre empzar con esto, a seguir pensando cual picaro lazaro, de momento solo gia un ciego como a todo novato

    ResponderEliminar
  11. ....stamos entre damiselas...
    ....señoritas bloggeras....
    y....no seamos nenas...
    perdona pero tambien habia chicas en tu conferencia.

    ResponderEliminar
  12. Lleva usted razón, apartir de ahora utilizaré arengos neutros para animaros a sacarlo.

    ResponderEliminar
  13. gracias,
    supongo que era la unica chica que habia leido sto, xq me extraña que nadie hubiera protestado antes.

    ResponderEliminar
  14. no eres la unica que había leido eso y tampoco es obligatorio sentirse ofendida

    ResponderEliminar
  15. Hola, ¿de dónde se puede descargar uno Odysseus?

    Gracias por el reto maligno, esto te ayuda a fijar conceptos.

    ResponderEliminar
  16. Ahí tenéis los links de varias que hacen lo pispo.

    Web_Applications

    ResponderEliminar