Certified Secure Challenges - Over challenges en dergelijke

iDB challenge. Het principe van reproduceerbaarheid

15-07-2013, 16:45 door Kane, 5 reacties
Geachte lezers,

Ik ben nu bezig met de iDB challenge en ik heb inmiddels de medewerkersbrief gevonden. Echter is dat my gelukt door heel veel proberen en een beetje goed geluk.

Wil ik de oplossing opnieuw invoeren dan zal deze 9 van de 10 keer niet lukken. Ik heb dus het gevoel dat mij iets is ontgaan. Ik dacht dat path traversal altijd zou moeten werken.

Ik heb een willekeurig stukje URL hieronder geschreven.
index.php?c=page&p=welkom

De code na de ? zijn HTTP query strings. In dit geval c = page en p = welkom. Maar ik zie ook i en id. Ik neem aan dat het gewoon variablen zijn voor de PHP programma's de die HTML genereren. Ik vind het echter moeilijk om hier enige principes aan te koppelen.

Ik zoek dus een beetje sturing.
Reacties (5)
17-07-2013, 17:24 door WK
Leuk toch :)
Houd je alert voor dit soort dingen.
Ik geloof dat ze per sessie kunnen variëren. Maar ook de diepte van de path-traversial verschild.

de "c" en "p" zijn variable die gebruikt worden om de pagina te maken volgens wat in het php script staan.
en voor deze pagina heb je 3 tabs dus zie je ook ander variable..... die dan ook weer te manipuleren zijn.

En uitdaging.....
17-07-2013, 22:59 door Kane
Dan zal ik me er verder in verdiepen. De veranderingen per sessie, is dat door certified secure of komt dat ook voor met echte websites. Als het eerste het geval is dan zit er weinig op dan gewoon brute force tactiek toe te passen.

Ik had gehoopt op iets dat op principes gebaseed is. Verder vraag ik me af of de premium video's de moeite waard zijn. ik heb al het enige over SQL injectie en path traversal nagelezen met google maar het is niet altijd kompleet.
17-07-2013, 23:45 door Anoniem
Ja ik heb de premium video's gekocht en direct wist ik hoe ik de sql injectie moest voeren. Ik raad je aan, als je er echt niet meer uit komt.
18-07-2013, 14:14 door Anoniem
Kane, queries zijn opdrachten/verzoeken, het is geen pad (path), dus path traversal in een query is in principe niet mogelijk. Queries kunnen alles bevatten wat de programmeur maar wil, mits binnen de grenzen van wat mogelijk is bij url's. Ze zijn niet noodzakelijk gestructureerd of logisch.
Waarschijnlijk is dit niet wat deze challenge bedoelt over te brengen.
18-07-2013, 14:50 door regenpijp
De premium content op Certified Secure is bedoeld om de basis te leren op het niveau van het bijbehorende certificaat.
Wanneer je moeite hebt met bepaalde technieken over het algemeen en je hebt geen zin om alles op te zoeken op andere websites dan is de premium content een optie.
Echter beschik je al over voldoende kennis om de certificaten te halen, dan zal je waarschijnlijk de challenges en de instructiefilmpjes van de premium content als (te) eenvoudig bevinden en dan zou het naar mijn mening zonde zijn om deze te kopen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.