23 ene 2012

#FPR5: ¡Jackmi Amijo!

Buenas a todos, hoy os traemos el quinto reto de Flu Project al que hemos titulado con el nombre "¡Jackmi Amijo!", y que se corresponde con el reto del mes de Enero (en Diciembre no tuvimos tiempo de montar ninguno, ¡lo sentimos!).
Como nos habéis ido pidiendo en las encuestas, este reto consiste en una pequeña intrusión en un Sitio Web. El reto es de nivel medio-bajo, y lo hemos puesto especialmente para todos aquellos que nos habéis comentado durante los últimos meses que no habíais podido pasaros los retos anteriores. Así que los que os lo paséis, os pedimos por favor que no comentéis la solución hasta que finalice el reto.
Una vez que paséis la primera prueba recibiréis instrucciones sobre como proceder a continuación.
El reto durará una semana, y el próximo lunes lo resolveremos, publicando un listado de los usuarios que hayan finalizado el reto correctamente.
El hashtag oficial en Twitter del reto es #FPR5, y a través de él os iremos dando pistas y haciendo comentarios a lo largo de la semana.
El sitio web donde tendréis que penetrar se encuentra desarrollado en PHP, os lo podréis descargar desde el siguiente link:

DESCARGAR RETO 5

Tendréis que alojar el sitio web en un apache, por ejemplo nosotros utilizamos WAMP, y visualizar desde un navegador la página principal, "index.php". En dicha página encontraréis un formulario de autenticación, y en el cuál comenzará la primera prueba, que consistirá en saltaros dicha autenticación.

Al tener el sitio web vosotros en local, podéis lanzarle todos los escáneres de vulnerabilidades que queráis sin miedo, y romper otras cosas (y hasta aquí puedo leer...). Aprovecho para recordaros que estamos escribiendo ahora una cadena de artículos sobre esta temática, que quizás os sea útil.

Si véis que tenéis problemas para pasar el reto, siempre podéis ir viendo el código fuente de la aplicación en cualquier momento, ya que el objetivo de este reto es aprender. Si lo hacéis por el simple hecho de decir que os lo habéis pasado, os engañaréis vosotros mismos ;)

Si el reto os gusta es probable que ampliemos este sitio web de pruebas para que lo tengáis junto con otros sitios como badstore para practicar ataques sin meteros en líos

Disfrutarlo, saludos!

4 comentarios:

  1. Interesante, boy a intentarlo :) haber si consigo sacarlo :)

    ResponderEliminar
  2. Me tomo menos de cinco minutos! :Dpero estaba en una biblioteca ahora lo hare correctamente.

    ResponderEliminar
  3. [...] http://www.flu-project.com/fpr5-jackmi-amijo.html [...]

    ResponderEliminar
  4. [...] acerca de las vulnerabilidades de tipo web y de como explotarlas (incluso les hemos dedicado un reto hacking), pero hasta ahora nunca habiamos hablado de las vulnerabilidades de tipo CSRF (Cross Site Request [...]

    ResponderEliminar