Lekcja 8: Wyzwanie

Wprowadzenie

Tym razem nie jest to lekcja, lecz wyzwanie. Ponieważ jest to wyzwanie, nie będzie tutaj konkretnych informacji odnośnie jego rozwiązania. Zamiast nich podanych zostanie kilka wskazówek, które powinny być wystarczające do rozwiązania zadania.

Wyzwanie

Zadanie polega na uwierzytelnieniu się do przykładowej "aplikacji" dostępnej pod adresem http://bootcamp.threats.pl/lesson08/.

Wskazówki

• Czy można rozróżnić prawidłową i nieprawidłową nazwę użytkownika?
• Czy zaburzenie któregoś parametru wskazuje na możliwość wystąpienia SQL Injection?
• Co przesyłane jest do aplikacji w trakcie uwierzytelnienia użytkownika?
• Co jest potrzebne do wygenerowania tej wartości?
• W jakiej postaci hasła użytkowników są (prawdopodobnie) przechowywane w bazie danych?
• Czy hasło użytkownika (w postaci jawnej) jest niezbędne do uwierzytelnienia?

Dodatkowe wskazówki można znaleźć na blogu:

• Bootcamp VIII: wyzwanie (hint),
• Bootcamp VIII: wyzwanie (hint II)
• Bootcamp VIII: wyzwanie (hint III)

Istnieją co najmniej dwa różne rozwiązania tego zadania. Opis jednej metody oraz wskazówki co do "podstawowego" sposobu rozwiązania zadania znajdują się we wpisie There's more than one way to skin a cat.

Powodzenia!

• 
•