Конкурс уязвимостей для новичков

01.06.2015, 18:55

~~faza02~~

Banned

Регистрация: 21.11.2007

Сообщений: 181

Провел на форуме:
1066435

Репутация: 1013

Правила:

Ваша задача найти уязвимости в веб-приложениях.

Каждая уязявимость оценивается в определенное количество баллов и после достижения отметки 20 вы получаете награду в виде репутации (достаточной, чтобы больше не писать в "Песочнице" ).

Также, действует система бонусов. Если вы приложите уязвимый код к найденной уязвимости, получаете еще 5 баллов. Обход WAF, нестандартность и уязвимости на крупных ресурсах будут также поощряться.

За плагиат баллы вычитаются, поэтому проверяйте найденные уязвимости в Google (не только на форуме Античат, но вообще по всему поисковику). Запрещено постить уязвимости на сайтах стран СНГ (ru, by, ua).

В посте необходимо указать тип уязвимости, требования и эксплоит (именно в таком формате), например:

Цитата:

Сообщение от None

Сайт: example.com
Уязвимость: SQL Injection
Эксплоит:

Код:

Code:
http://example.com/index.php?id=1 UNION SELECT 1,2,3,table_name FROM information_schema.tables

Код уязвимости:

Код:

Code:
$query = "SELECT news FROM cds WHERE id=".$_GET['id'];

Уязвимости:

SQL Injection (2 балла)
Stored XSS (2 балла)
Reflected XSS (1 балл)
Local File Inclusion (3 балла)
Remote File Inclusion (4 балла)
Remote Code Execution (5 баллов)
XXE (5 баллов)
Arbitary File Read (3 балла)

Для наглядности баллы будут в ручном режиме добавляться в таблицу: https://yarbabin.ru/antichat/

Типы уязвимостей:

Оранжевые (с приложенным исходным кодом уязвимости)
Серые (эксплоит без кода)

ANTICHAT — форум по информационной безопасности, OSINT и технологиям