+- N-PN White-Hat Project (https://dev.n-pn.fr/forum)
+-- Forum : Challenges (https://dev.n-pn.fr/forum/forumdisplay.php?fid=14)
+--- Forum : [Épreuves] Hacking (https://dev.n-pn.fr/forum/forumdisplay.php?fid=52)
+--- Sujet : Pour aller plus loin dans la démarche (/showthread.php?tid=2981)
Pour aller plus loin dans la démarche - oleanna - 08-05-2013
Hello,
Je voulais savoir si il était possible d'avoir le code des challenges qu'on a déjà terminé afin de pouvoir faire un feedback ensemble sans avoir peur de compromettre le challenge de ceux qui ne si sont pas encore frotté.
Je m'explique,
j'ai réussi une partie des challenges et je remarque que pour certain c'est plus parce que j'y ai été à taton que parce que j'ai vraiment compris le sujet ( j'ai lu sur les topic d'aide en cherchant à comprendre le pourquoi du comment que je n'étais pas le seul ) et donc je me suis dit que ça pouvait être pas mal de :
- voir le code source pour analyser l'action réel entreprise ( pour les injections notamment ) sur le code et ainsi comprendre dans les moindres détails pourquoi ceci marche et pas cela
- mais aussi allez plus loin dans le résonnement !
Je suppose que les challenges sont des "classiques" et donc qu'un autre challenge pourrait être de corriger la faille!
Qu'en pensez-vous ?
RE: Pour aller plus loin dans la démarche - InstinctHack - 08-05-2013
Mhhh je ne pense pas que cela soit possible.
Techniquement, oui on pourrais.
Et tu n'apprendrais rien car ce n'est pas du code ""réel"" tu n'as aucune chance de retrouver ce genre de code en entreprise.
Le code des challenges est ce qu'on appelle "forgé" cad créer uniquement dans le cadre d'un exercice de sécurité, dans un contexte d'entreprise ces code n'ont aucun sens.
je m'explique , dans un projet réel tu peux retrouver l'utilisation de la fonction htmlspecialchars en PHP alors qu'en challenge, on recoderais la fonction à coup de str_replace pour y laisser une faille pour pouvoir l'exploit.
De plus, certains challenges (aucun officielement sur n-pn.fr mais il y en as quand meme un :p ) se sont en whitebox, cad que tu connais le code qui tourne sur le serveur (via une archive à dowload)
Il n'existe (je l'espère) aucun faille *réelle* dans les challenges elles sont *simulées* et cette simulation fait que le code n'est pas utile pour apprendre à se protéger.
Après je laisse les autres répondent
RE: Pour aller plus loin dans la démarche - supersnail - 08-05-2013
Anéfé, les challenges sont simulés (ce qui malheureusement enlève des techniques d'exploitation), par contre on peut toujours considérer l'idée de mettre en place des afterwards pour discuter de la solution des challenges
RE: Pour aller plus loin dans la démarche - InstinctHack - 08-05-2013
Shirobi tu serais surement étonné de voir les mécanismes qu'il y a derrière (en particulier les miens xD )
RE: Pour aller plus loin dans la démarche - notfound - 08-05-2013
(08-05-2013, 12h24)Shirobi a écrit : "Anéfé" dafuq?
En effet !
RE: Pour aller plus loin dans la démarche - Machin - 08-05-2013
(08-05-2013, 12h37)notfound a écrit :(08-05-2013, 12h24)Shirobi a écrit : "Anéfé" dafuq?
En effet !
Cette tournure a été rendus celebre par Christine Albanel, alors minsitre de la culture, qui l'utilisait a tout bout de champs pendant les debats sur Hadopi à l'assemblé général.
RE: Pour aller plus loin dans la démarche - InstinctHack - 08-05-2013
C'est pas la propriétaire du pare-feu d'open office elle ?
RE: Pour aller plus loin dans la démarche - Machin - 08-05-2013
aussi ! Elles a plusieurs exploits à son actif
RE: Pour aller plus loin dans la démarche - notfound - 08-05-2013
(08-05-2013, 13h46)InstinctHack a écrit : C'est pas la propriétaire du pare-feu d'open office elle ?
Si anéfé !
RE: Pour aller plus loin dans la démarche - InstinctHack - 08-05-2013
et sinon revenir sur le sujet principal c'est possible ?
RE: Pour aller plus loin dans la démarche - oleanna - 08-05-2013
Le code n'est plus si intéressant à voir que ça ( par rapport au contexte de base, parce que dans un autre contexte comme la création de challenge ça pourrait être utile mais c'est un autre débat ) puisque
c'est des failles précises qui ne seront jamais vue sur le web et donc pas besoin d'apprendre à les corriger... :/
J'aurais aimé pouvoir regarder le code et me dire :
Donc si je fais ça, concrètement ça me donne ça et donc si je ne veux pas que ça se passe comme ça, il faut que je le fasse autrement... ( je pense pas être très compréhensible xD )
Je verrai si je peux pas me faire un site labo :p... J'aime bien expérimenter en apprenant ^^
RE: Pour aller plus loin dans la démarche - is001_fred - 08-05-2013
Salut oleanna,
Si tu veux apprendre sur de vraies failles, cherche sur le net des sites qui proposent des machines virtuelles (complètes et si possible téléchargeables) volontairement "attaquables". Tu pourras ainsi mettre à l'épreuve tes compétences ET étudier des cas réels (obsolètes) de systèmes d'exploitation ou programmes faillibles. Bon courage ! ;-)
RE: Pour aller plus loin dans la démarche - oleanna - 08-05-2013
(08-05-2013, 18h06)is001_fred a écrit : Salut oleanna,
Si tu veux apprendre sur de vraies failles, cherche sur le net des sites qui proposent des machines virtuelles (complètes et si possible téléchargeables) volontairement "attaquables". Tu pourras ainsi mettre à l'épreuve tes compétences ET étudier des cas réels (obsolètes) de systèmes d'exploitation ou programmes faillibles. Bon courage ! ;-)
bha des labos quoi
! J'en ai vu que je ne connaissais pas sur un autre thread ^^ !
ça quitte le sujet du feedback tout en répondant à ma question secondaire ^^
Globalement merci à tous pour vos réponses
!