SilenTx0
-
Posts
531 -
Joined
-
Last visited
-
Days Won
14
Posts posted by SilenTx0
-
-
Tare, dar ce nu am fost adaugat la solveri?
Felicit?ri! Ai fost ad?ugat pe lista celor care au rezolvat challenge-ul.
Plus ca dupa ce am rezolvat, a disparut si solverul precedent...
Edit: Apare solverul precedent, dar eu nu apar.
Modificam eu ceva la afi?area listei, de aia nu ap?reai. Îmi cer scuze pentru nepl?cerile create.
LE: Am ad?ugat ?i clasament în func?ie de lungimea solu?iei.
-
Se pot extrage informa?ii doar din baza de date f?cut? special pentru aplica?ii vulnerabile la SQL Injection.
-
Dar mi-am pierdut parola
Folose?te http://www.pwnthecode.org/am_uitat_parola.php pentru recuperarea parolei.
-
Nu primesc email-ul de confirmare al contului.
?i-am activat eu contul.
Ca s? nu v? plictisi?i pân? e gata platforma de CTF, v-am preg?tit un mic challenge: http://www.pwnthecode.org/challenges/sqli_chall.php?id=x
-
Sper ca site-ul s? ?in? ani buni . Vreau s? spun c? sunt novice cu chestii de genul , înc? nu am înv??at complet limbaje de programare gen : php , javascript sau sqli.. Deci mult noroc cu între?inerea hostului ..
Cât timp vom avea bani s? platim serverul, cu siguran?a va fi UP
Dac? exist? persoane care doresc s? ne ajute cu o dona?ie, s?-mi trimit? PM.Btw, am mai ad?ugat un tutorial. Link: Pwnthecode | Logheaza-te
-
Pentru a pune în practic? ideea asta, este nevoie de persoane bine preg?tite în acest domeniu. De ce ar sta cineva pe un salariu de 13 milioane cand poate câ?tiga de 10 ori mai mult?
In România înv???mântul este liniar, bazat pe foarte mult? teorie si 0 practic?. Acesta este si motivul pentru care 40% din tinerii care termina liceul sunt Analfabe?i din punct de vedere functional. Ei stiu despre celule, cine a fost Burebista, mi?carea oscilatorie si alte minuni, insa nu stiu sa monteze un bec.
Guvernul ar trebui sa schimbe metodele de predare, evaluare, sa se pun? accent mai mult pe practica decât pe teorie, sa investeasc? in invatamant( modernizarea ?colilor etc). Abia dupa aceea se pot gândi la implementarea ideilor precum cea expus? mai sus.
-
1
-
-
E o mica problema cel putin intalnita de mine la primirea mail-ului de confirmare.
Link-ul era : http://pwnthecode.org/activate.php?cod=M[`iok&user="username" iar dupa litera "M" mail-ul nu-l mai citea ca pe un intreg, bineinteles nimic grav.
Multumesc, o zi buna.
edit: Vad ca nici forumul nu-l citeste ca pe un intreg, din cauza caracterelor de tip " [ " ; "`" ... etc.
edit 2: La intrebarea "Daca nu ai reusit sa gasesti nici un XSS folosind un scanner bun pentru aplicatii web
inseamna ca aplicatia ta este securizatata "
Chiar daca bifezi Adevarat/Fals site-ul nu trece la urmatoarea intrebare iar butoanele de 'A/F' sunt prost puse, daca e nevoie revin cu screenshot.
Nu-i nevoie de screenshot, ?tiu despre ce vorbe?ti.
Dac? am s? am timp în weekend le voi repara. Pân? atunci, dac? nu v? apare butonul de next la una din întreb?ri, ap?sa?i "p?r?se?te acest examen".
LE: Am rezolvat bugul de la examene. Dac? se mai întâmpl? s? nu v? apar? butonul de next, îmi spune?i prin PM.
-
Eu am descarcat ?i dezarhivat f?r? probleme:)
-
C?teva modific?ri: examenele nu vor mai fi câte unul pentru fiecare tip de vulnerabilitate ci câte trei, pe nivele diferite de complexitate (încep?tor, intermediar, expert).
Momentan am f?cut doar pentru XSS, urmând ca în zilele urm?toare s? modific?m ?i pentru celelalte tipuri de vulnerabilit??i.
Am ad?ugat posibilitatea de a reseta examenele ?i un scurt tutorial despre protocolul HTTP(disponibil aici: http://www.pwnthecode.org/learn/index.php ). De?i nu este o vulnerabilitate, eu personal consider c? orice pasionat de acest domeniu trebuie s? cunoasc? minim informa?iile expuse în acest tutorial. Respectivele informa?ii nu se vor reg?si în niciun examen.
PS: Nu mai raporta?i problemele de design din Chrome. ?tim de ele ?i încerc?m s? le rezolvam cât mai repede.
-
1
-
-
M-am inregistrat astazi si am activat contul cu linkul primit pe mail si cand incerc sa ma loghez surpriza imi zice ca contul nu este activat !
Trimite-mi linkul de activare primit pe mail prin PM.
-
@SilenTx0
1. Sa pui si despre vulnerabilitatile in javascript. Multi dintre noi le stim pe cele din php si MySQL injection dar in javascript... mai greu.
2. Si incea ceva, vezi ca mai e una numita SQLi in cookies sau asa ceva. Practic cookie-urile sunt vulnerabile la un anume tip de atac. Faza e ca nu stiu cum se cheama dar sigur NU ma refer la cookie stealing.
Cookie-urile nu pot fi vulnerabile insa am în?eles la ce te referi tu.
Vom adauga dupa ce terminam partea de functionalitate foarte multe tutoriale.
-
G?se?ti pe linkul din semn?tura mea r?spuns la intrebarile tale.
-
Bine ai venit.
https://buckysroom.org/videos.php g?se?ti aici foarte multe tutoriale pentru diferite limbaje de programare ?i nu numai (ai în partea dreapt? lista).
-
Sfat: gasiti o alta modalitate de testare.
De ce?: daca parcurg testul de cateva ori + notatii in functie de rezultatele corecte, deja invat raspunsurile.
Puteti sa mai adaugati raspunsuri false random si/sau sa nu afisati rezultatele corecte sau gresite.
Pe lang? scopul de testare a cunostin?elor, examenele mai au ?i scopul de a ajuta utilizatorul s? înve?e. Dac? tu gre?e?ti acum o întrebare, urm?toarea dat? nu o vei mai face. Practic, tot ai înv??at ceva
Eu nu consider c? ar trebui schimbat? modalitatea de testare îns? dac? se g?sesc mai multe persoane care doresc asta, vom modifica. În scurt timp voi face câteva modifc?ri minore (nu va mai fi un examen teoretic pentru fiecare vulnerabilitate ci vor fi trei, pe nivele diferite: încep?tor, medium, avansat). Voi încerca s? adaug un num?r cât mai mare de întrebari pentru a evita posibilitatea repet?rii unei întreb?ri în cazul în care utilizatorul nu reuseste s? promoveze din prima. Voi ad?uga de asemenea ?i certificatul. -
Mi-a mai venit o idee. Cand cineva termina cu succes un challenge in loc de mesajul de felicitare sau "succes" nu ar fi mai bine sa primeasca 5, 10 sau 20 de euro ?
Foarte buna idee, pe lâng? faptul c? noi nu câstig?m nimic din acest proiect, chiar ar fi fain s? v? dam bani:)). Dar ce-ar fi ca atunci când cineva termin? cu succes un challenge, s? trimit? 5, 10 sau 20 euro ca s? putem plati hostul în continuare ?i celelalte cheltuieli? hahahahahahah:)))))))
-
http://imgur.com/XCBGeYL
Nu cred ca acolo ar trebui sa apara mesajul de "succes" cand iti faci cont.
http://imgur.com/wBLMaF9
Mesajul de succes l-am l?sat acolo pentru c? ast?zi bag un plug-in pentru notific?ri ?i n-avea rost s? mai modific
.Rezolv acum bugul de la CSS. Mul?umesc pentru sesizare.
-
It's normal ?
Examenele practice nu sunt terminate
-
@SilenTx0
Vezi ca facea MaXXe de pe intern0t niste pentest challenge-uri si te poti inspira din ele. Erau chiar foarte bune, spre advanced nu asa ca pentru tampitei. Daca nu gasesti vezi in internet archive database.
Te mai poti inspira si din CBBT hacking nuggets sau cam asa ceva (le gasesti pe torrente).
Mai era si un site gen hackme, nu mai stiu exact cum se cheama. Vezi ca si ala e bun ca sursa de inspiratie.
Am deja ideile pentru challenge-uri, mai trebuie doar timp pentru împlementare...Pe lang? challenge-uri ve?i mai avea parte de o surpriz?.
L.E: Dac? exist? persoane care vor s? ajute la dezvoltarea challenge-urilor pe partea de programare/idei s?-mi trimit? PM.
-
Foarte frumos site-ul si chiar ma bucur ca exista asa ceva !
Dar am o mica mentiune ..
Ce avem de invatat despre BLIND SQLI este extrem de putin, chiar foarte putin.
Iar ce avem acolo nu ne ajuta deloc pentru a trece de testul cu Blind SQLI de la Gaseste Vulnerabilitatea Practic 1.
Bafta !
Este foarte pu?in pentru c? nu am terminat tutorialul. Voi ad?uga mai multe weekend-ul acesta + înc? dou? metode de exploatare (Double query ?i XPath care sunt terminate, îns? necesit? mici modific?ri).
-
In primul rand noroc si bun venit la noi, apoi partea cu "vreau sa sparg cum sa sparg site-uri" ar spune-o doar un copil, partea cu vulnerabilitatile poti cauta tutoriale despre exploat dar mai intai trebuie sa inveti ce este acea vulnerabilitate, de ce apar errorile
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1
SELECT module FROM rights WHERE user_id =Oricum inainte sa te poti apuca te pentesting trebuie sa inveti PHP,JS etc...
Nu ar spune-o doar un copil, este gândirea tipic? a încep?torilor în acest domeniu. Cred c? fiecare dintre noi a trecut prin aceast? perioad?.
@Razix , mai întai încearc? s? înve?i s? creezi aplica?ii web. Te va ajuta foarte mult nu doar pentru a în?elege cum functioneaz? vulnerabilitatile web, ci î?i va schimba foarte mult gândirea. Po?i face lucruri "pozitive" cu aceste cunostin?e ( în domeniul securit??ii), nu doar s? distrugi.
https://rstforums.com/forum/90082-rst-pwnthecode-beta.rst . La fiecare capitol scrie ?i ce trebuie s? ?tii ca s? po?i întelege cum functioneaza vulnerabilitatea (se presupune c? de HTML nu se pune problema s? nu ?tii).
-
Ám fácut contul áseárá si nici ácum nu e áctivát
Nu se activeaz? automat, trebuie s?-l activezi tu. Gase?ti linkul de activare pe mail-ul pus la înregistrare, cel mai probabil în spam.
Marca?i v? rog mail-ul ca "NOT SPAM".
-
Imi doream de mult sa invat si sa pot sa si testez fara a dauna altora.
PS: Ceva bug-uri CSS la fereastra de feedback. Z-index issues.
PS2 : O varianta pt mobile n-ar dauna sa pot citi pe drum spre munca.
Pe viitor vom scoate ?i o varianta mobile unde nu o s? mai trebuiasc? s? parcurgi fiecare pas, tutorialul fiind integral.
Când nu ?tim exact, cel mai probabil dup? finalizarea platformei ?i traducerea acesteia.
-
si o mentiune: vedeti ca mailul de inregistrare intra in spam, va rog marcati ca NOT SPAM.
LE: asta apare scris cu alb pe alb la mine:
<div class="current_progress redd" style="width:0%;border-top-right-radius:100px;border-bottom-right-radius:100px;">0% COMPLETE</div>
?tiu c? apare cu alb dar nu mai modific pentru c? ast?zi o s? facem un remake la progress bar
Cam a?a va ar?ta.
LE: Rezolv imediat problema cu CSS-ul. Mul?umesc pentru sesizare.
-
Pwnthecode este o platform? educa?ional? care are ca scop dezvoltarea, responsabilizarea ?i antrenarea pasiona?ilor de securitate. Scopul definit al platformei este s? demonstreze cât de periculoase sunt vulnerabilit??ile web dar ?i s? înve?e utilizatorul despre anumite bre?e de securitate pe care acesta, ulterior, va înv??a s? le repare în vederea îmbun?t??irii securit??ii pe pia?a IT.
Platforma se adreseaz? în special celor mai pu?in specializa?i în domeniul IT ?i celor care de?in un website sau care activeaz? în domeniul web.
Link: Pwnthecode | Proiect despre Securitatea Web
Momentan platforma este la la versiunea BETA, urmând ca în scurt timp s? ad?ugam atât un numar mare de tutoriale pentru vulnerabilit??ile existente (în cadrul platformei) cât ?i câteva tipuri de vulnerabilit??i noi. De asemenea, vom mai ad?uga/modifica examene. User control panelul este în dezvoltare deci este posibil s? întâmpina?i unele probleme.
Orice fel de problem? v? rog s? mi-o trimite?i prin PM mie sau lui @danyweb09.
Cei care dorest s? sus?in? proiectul pot face o dona?ie (g?si?i pe site mai multe detalii). Dac? cineva doreste s? doneze prin alt? metod? decât PayPal, s? imi trimit? PM.
Orice sugestie este bine-venit?!
-
13
-
1
-
Pwnthecode - SQL Challenge
in Challenges (CTF)
Posted
Atât a reu?it el sa-l fac? cel mai scurt. Apropo, felicit?ri!