[TUT] Moduri de a aborda challenge-uri de tip web

[Ganav]

Acest tutorial isi propune sa ilustreze un numar de mijloace care pot fi folositoare in rezolvarea challenge-urilor orientate pe securitatea web. In primul rand avem nevoie de un set de utilitare care ne vor face munca mai usoara:

firefox:

Download Firefox — Free Web Browser — Mozilla

si urmatoarele plugin-uri:

tamper data:

https://addons.mozilla.org/en-US/firefox/addon/tamper-data/

hackbar:

https://addons.mozilla.org/en-US/firefox/addon/hackbar/

cookie editor:

https://addons.mozilla.org/en-US/firefox/addon/edit-cookies/

burpsuite:

Burp Suite

dirbuster:

https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project

Modul de abordare poate fi realizat in felul urmator:

1. Daca este un challenge XSS cautam in sursa paginii tag-uri html incomplete. Adesea acestea nu sunt valide datorita filtrarii specifice implementate de initiatorul challenge-ului(apar scrise cu rosu in sursa paginii, cel putin in firefox)
   
2. Daca nu apar modificari in sursa paginii putem verifica cookie-urile. Script-ul poate seta cookie-uri ce pot contine hint-uri catre etapele urmatoare sau chiar si rezolvarea challenge-ului respectiv
   
3. Uneori, mai rar, trebuie sa gasim un director ce contine hint-uri. Aici putem folosi dirbuster, de regula folosind un numar redus de cuvinte de cautare
   
4. In multe situatii hint-urile sunt reprezentate prin siruri de caractere encodate sau numere scrise in diferite baze de numeratie(de obicei baza 15 sau 16)
   Pentru a decoda aceste siruri putem sa ne folosim de:
   CRYPO: Encrypt or Decrypt sensitive data using AES/DES/RCA encryptors.
   Base64 si hex decode le putem efectua direct cu hackbar
   
5. Pentru a calcula valori in diferite baze de numeratie putem folosi:
   Number Base Calculator
   
6. Unele challenge-uri sau etape din acestea trebuiesc rezolvate exploatand vulnerabilitati SQL. Un tutorial ce ilustreaza destul de clar atacuri SQLi select based se gaseste aici:
   https://rstforums.com/forum/58602-detailed-basic-full-sql-injection-tutorial.rst
   

Cam acestea ar fi principalele cai de atac asupra challenge-urilor observate aici:

https://rstforums.com/forum/competitie-challenges.rst

Edited July 1, 2014 by Ganav

[Open]

Frumos tutorialul, dar de la o vreme challange-urile se axeaza pe logica, si mai putin pe securitate web, oricum lucrez la un challange care se bazeaza pe ambele domenii, si logica si vulnerabilitati web.