Website Hacking Challenge Varna – 2014

Website Hacking Challenge Varna – 2014

Posted by ethical-hacker | декември 16, 2014 | Новини

Какво се случи на хакерското състезание на 14-ти

В състезанието участваха 4 отбора, които имаха две задачи пред себе си:
Да придобият достъп над широко използваната уеб сайт система WordPress.
Да предоставят решения за подобряване на сигурността над една от най – често използваните системи за електронна търговия – OpenCart.

Състезанието започна с 2 часа лекция, за предварителна подготовка на състезателите с по – малко опит.
Продължителност на частта за атака е 1 час и 30 минути и 2 часа за изграждане на защита.

Победител, с най – много точки, е отбора на Lammers Inc:
Мирослав Кошутански, Станислав Маджаров и Теодора Янакиева.

Екипът успешно реализира XSS атака, насочена срещу администраторите на сайта, като се възползва от пропуск в базовата инсталация на WordPress. На пръв поглед безобидна, XSS атаката беше майсторски изпълнена и осигуряваше поемане на контрола, над целия уеб сайт.

Това, което прави реализацията на Lammers Inc брилянтна е, че не оставя забележими следи и се възползва от пропуск в базовата инсталация, а не от пропуск в модул или темата. WordPress е най – масово използваната система от фирмите за уеб дизайн, като близо 55%-та от уеб сайтовете са изградени на нея. Използваната версията в състезанието – 3.9.1 излезе едва в средата на тази година и това поставя много въпроси за сигурност на стотици хиляди уеб страници.

Екипът успешно се възползва и от пропуск в един от модулите на WordPress и реализира „Arbitrary File Download“ атака.
Това му позволи успешно да свали конфигурационния файл на системата. Единствения противник на Lammers Inc беше времето, което не им достигна за да превземат целия сървър.

Най – много точки за защита получи отбора на Димитър Мирчев, Тодор Вачев и Ясен Янчев, които предложиха много решения, за подобряване на сигурността на Opencart. Точките получени за защита, не бяха достатъчни, за да успеят да догонят преднината, която Lammers Inc набраха, в частта за атака. Така, високото представяне тук им донесе второ място.

На трето място се класира отбора на Христо Христов и Живко Кабаиванов, които предложиха добри решения за защита, решавайки не малко проблеми.

Спонсори:



Благодарности:

Тодор Донев, Жана Йорданова и Венко Добрев

Информация за регламента можете да намерите на Website Hacking Challenge
Използваната в състезанието версия на WordPress e 3.9.1
Версията на Opencart е 2.0.
Архив с целия използван софтуер можете да изтеглите от тук.
Парола за архива: ethical-hacker.org

Save

Save

Save

Save

Add a comment

Related Blogs

GDPR, регламент за защита на данните
Posted by ani | 22 July 2018
Да, регламентът обхваща и фирмите, дистрибуторите и дори авторите на художествени произведения. И това не е изненадващо. При по-дълбок размисъл над основата на GDPR ще стигнем до извода, че предметът...
GDPR, регламент за защита на данните
Posted by ani | 01 July 2018
За по-малките организации е нормално внедряването на GDPR да бъде по-трудно. Най-вероятно времето за приспособяване е по-дълго, както и броят на хората, отговарящи за целта, е по-ограничен. Затова не е...
GDPR, регламент за защита на данните
Posted by ani | 17 June 2018
1. Регламентът за защита на данните даде достатъчно време за подготовка на организациите. С две години разполагаха фирмите, за да отговорят на критериите за обработка на наличната информация. 2. GDPR...