miércoles, octubre 18, 2006

Las reglas del Juego

Albacete 6:45

Me he caido de la cama, así son algunos días, te levantas a las 5 y media de la mañana y no sabes por qué, bueno, tal vez sea porque el gran carmona, con el que compartía habitación (es decir, el la paga y yo me acoplo) estaba más cansado que de costumbre después de hacerse Madrid-Malaga-Murcia-Albacete de 7 a 7 currando y de 7 a 1 de... bueno, eso, y no quería despertarle sólo por haberme despertado.

Así que....

Las reglas del juego.

Lo que os propongo aquí es un pequeño reto, sobre técnicas de hacking en aplicaciones web. La idea es sencilla, para entrar en una zona privada se nos pide una contraseña, no hay gestión de usuarios, solo se necesita una contraseña. Esta contraseña podría ser cambiada cada semana y enviada a los que tienen privilegios por mail cifrado o dicha de voz, o como nos de la gana, sólo es un juego.

La zona privada a la que se tiene acceso con la contraseña está ubicada dentro de una página web que tiene más información y que en este caso está representado por todos los elementos que se ven en la web. Cualquier elemento que esté en ese mini-web puede ser utilizado para encontrar la palabrita de paso.

La web está en un servidor aislado detrás de un firewall en Informática64, asín que, cualquier escaneo con scanners de vulnerabilidades o similar provocará que se bloqueen ips. Si la tocada de webs es mayor, entonces cortaré el juego y listo calisto.

Para pasar el reto solo se necesita "la herramienta más poderosa jamás creada" y ... un juguetito que sabréis cual es cuando lleguéis a ese punto, observar, repasar un poco los deberes y pensar. Pensar es la clave para este juego. No es trivial pero ni mucho menos es imposible. No me creería que no lo sacase NADIE.

El juego está montado a partir de varias auditorías de seguridad que hemos realizado, de dos en concreto que me gustó mucho resolver y que las he fusionado en una sola, así que si Rodol y yo pudimos, vosotros también.

Iré regalando cosas a los que lo vayan sacando (gall..., camisetas, etc...) pero si alguien detecto que se lo han chivoteado (y lo hace solo por ganar la camiseta) entonces le daré la camiseta y lo pondré en la lista de "copiotas".

En el supuesto caso de que estemos ENTRE DAMISELAS daré la solución en el 2007, pero vamos, que sería de VERGUENZA sus señoritas BLOGGERAS.

Así que nada, a por ello. La URL es: http://www.informatica64.com/retohacking/

PD: Gracias a Alex que se curró la programación del juego.

17 comentarios:

Anónimo dijo...

con firefox no rula bien la page :-(

uiiiii!!! no es contraseña :p

ander

Anónimo dijo...

Ya, con firefox no se ve bien, aunque se pueden bajar uno a uno los aspx y trabajar sobre ellos directamente. Parece que las pistas tienen su importancia y todos los campos de los formularios. Habrá que desempolvar los conocimientos de ASP.NET :-)

Gracias maligno por el reto, cuando tenga un rato lo mismo más ;-)

Chema Alonso dijo...

Hola holita,

bueno, ya he dicho que lo adapten bien para que podáis jugar desde Firefox.... a ver quién es el primero, no me decepcionéis chavales...

Benigno dijo...

Yo es que desde que vi operación Swordfish sin chorrocientos monitores y una tía que me la chupe no participo en estos retos. Jeje

Anónimo dijo...

Podrías dar el nombre de los programas que has usado? Uno era el cain que conocemos todos... pero el otro asirius... osirius???

gracias

pda: quien es 'Jay' de la foto?

Chema Alonso dijo...

Hola Benigno!!

si es por eso no te preocupes que tenemos un servicio a domicilio de accesorios para la distro de la i-pod que .... ;)

Hola anónimo, supongo que eres de los que habéis estado ayer en Albacete. El otro prog era Odysseus.

El Jay de la foto es R. Varela, un desarrollador en Google y compañero de aventuras.

Anónimo dijo...

mmm, Benigno ¿te pareces a Hugh Jackman?, pon foto

Ginger

informaticalegal@gmail.com dijo...

Bueno, tiene buena pinta, mejor que los sudokus.
La "pista" de lo del lazarillo es lo que más me ha ayudado a seguir avanzando hasta la fecha. La considero fundamental.
Cuando pasemos un tiempo volviéndonos locos y no lo hayamos sacado, algún día nos explicarás cómo se solucionaba no?

Chema Alonso dijo...

Vamos, vamos, vamos. Si está clarísimo... no seamos nenas!!

Anónimo dijo...

los viewstates poco me han contado tambin es al verdad novato q es uno y se me ocurre empzar con esto, a seguir pensando cual picaro lazaro, de momento solo gia un ciego como a todo novato

Chema Alonso dijo...

Cuanto manta veo por aki! :P

Anónimo dijo...

....stamos entre damiselas...
....señoritas bloggeras....
y....no seamos nenas...
perdona pero tambien habia chicas en tu conferencia.

Chema Alonso dijo...

Lleva usted razón, apartir de ahora utilizaré arengos neutros para animaros a sacarlo.

Anónimo dijo...

gracias,
supongo que era la unica chica que habia leido sto, xq me extraña que nadie hubiera protestado antes.

Anónimo dijo...

no eres la unica que había leido eso y tampoco es obligatorio sentirse ofendida

Anónimo dijo...

Hola, ¿de dónde se puede descargar uno Odysseus?

Gracias por el reto maligno, esto te ayuda a fijar conceptos.

Chema Alonso dijo...

Ahí tenéis los links de varias que hacen lo pispo.

Web_Applications

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares