JeuWeb - Crée ton jeu par navigateur
Security Web [une exo sous forme de challenge a l'ecol] - Version imprimable

+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Général (https://jeuweb.org/forumdisplay.php?fid=36)
+--- Forum : Blabla (https://jeuweb.org/forumdisplay.php?fid=42)
+--- Sujet : Security Web [une exo sous forme de challenge a l'ecol] (/showthread.php?tid=696)

Pages : 1 2


RE: Security Web [une exo sous forme de challenge a l'ecol] - X-ZoD - 26-01-2007

bon ... je suis au niveau 3 du SQWEB on est le 5eme groupe a y etre arrive les premiers ^^ le coup des identification de l'admin par cookies -_-
a eviter donc !
pour ceux qui veulent je peux donner de plsu amples informations


RE: Security Web [une exo sous forme de challenge a l'ecol] - NicoMSEvent - 26-01-2007

l'identification par cookie...
il ya plusieurs nuances.
1°)Soit mettre l'identifiant et le mot de passe (plus ou moins crypté dans le cookie -> a éviter),
2°)Passer un identifiant de session soit dans l'url (qui changera forcément a chaque session), soit dans le cookie (qui au final est la meme chose),
3°)Un cookie crypté en ssl avec l'identifiant de session dedans (pour l'instant, je ne connais pas plus sur).

Le petit plus, est de tester le referer, et l'adresse IP du client (on renforce la sécurité)
1°)pour le referer : ça évite la pluspart des attaques bruttes
2°)pour le test de l'adresse IP : le vol d'identifiant ne servirait a rien, a moins d'etre derriere le meme routeur.


RE: Security Web [une exo sous forme de challenge a l'ecol] - barst - 26-01-2007

Vu vos messages j'y suis retourné et effectivement je bloque au niveau 8.
Il me semble que ce niveau nécessite de lister les fichiers contenus dans le répertoire.

Or quand on veut lister le répertoire, il y a un fichier php qui est appellé mais il paraît en erreur.

Donc comment as-tu passé au niveau 9 ?


RE: Security Web [une exo sous forme de challenge a l'ecol] - Chewbacca - 26-01-2007

Moi j'ai honte je bloque au niveau 2 ^^


RE: Security Web [une exo sous forme de challenge a l'ecol] - barst - 29-01-2007

J'ai un doute aussi car il y a un an, ce n'était pas comme ça.


RE: Security Web [une exo sous forme de challenge a l'ecol] - X-ZoD - 29-01-2007

looooooooooooooooooool
me revoila .... de nouveau challenge sont tombé a lecol....
dont un qui etait particulierement frustrant .. je vous fait un scren ca ira plus vite

[Image: challenge1.jpg]

alors voila ... sur quoi on tombe...

a la vue de ce formulaire ... la majorite des genrs normaux vont se dire un truc dans el genr : "bon va faloire jouer dans les cookie pour s'identifier en tant qu'admin"
alors j'affiche le cookie.. et je tombe sur
Citation :Please Give me a COOKIE

-_-
alors je me dis qu'il faut que je trouve le moyen de modifier le cookie en passant par le fomulaire... .. je me lance dans des recherches sur google et tout...

pis au bout d'une demie heure je revien sur cette page qui me regarde inexorablement avec le meme message ...
je me dit ..." faut que j'arete de tester des trucs n'importe comment et de faire le bourin... vaut mieux reflechir" ....

et la en regardant le formulaire je me rend compte que COOKIE est en majsucules ... alors j'ouvre les yeux et je me dit "ho merde... ca peut pas etre ca"
et devinez quoi ? Big Grin


RE: Security Web [une exo sous forme de challenge a l'ecol] - gtsoul - 29-01-2007

tu lui a donné son "COOKIE" (dans la saisie) et tu as validé le formulaire.
Je connaissais aussi l'histoire du "entrez LE MOT DE PASSE"
Suprachiant pour des esprits carrés


RE: Security Web [une exo sous forme de challenge a l'ecol] - X-ZoD - 29-01-2007

bha claire ....
mais j'avou que MOT DE PASS pour moi serait plus flagrant