Affichage hiérarchique

oleanna · 08-05-2013, 09h00

Hello,

Je voulais savoir si il était possible d'avoir le code des challenges qu'on a déjà terminé afin de pouvoir faire un feedback ensemble sans avoir peur de compromettre le challenge de ceux qui ne si sont pas encore frotté.

Je m'explique,

j'ai réussi une partie des challenges et je remarque que pour certain c'est plus parce que j'y ai été à taton que parce que j'ai vraiment compris le sujet ( j'ai lu sur les topic d'aide en cherchant à comprendre le pourquoi du comment que je n'étais pas le seul ) et donc je me suis dit que ça pouvait être pas mal de :

- voir le code source pour analyser l'action réel entreprise ( pour les injections notamment ) sur le code et ainsi comprendre dans les moindres détails pourquoi ceci marche et pas cela

- mais aussi allez plus loin dans le résonnement !
Je suppose que les challenges sont des "classiques" et donc qu'un autre challenge pourrait être de corriger la faille!

Qu'en pensez-vous ? Smile

InstinctHack · 08-05-2013, 09h10

Mhhh je ne pense pas que cela soit possible.
Techniquement, oui on pourrais.
Et tu n'apprendrais rien car ce n'est pas du code ""réel"" tu n'as aucune chance de retrouver ce genre de code en entreprise.
Le code des challenges est ce qu'on appelle "forgé" cad créer uniquement dans le cadre d'un exercice de sécurité, dans un contexte d'entreprise ces code n'ont aucun sens.
je m'explique , dans un projet réel tu peux retrouver l'utilisation de la fonction htmlspecialchars en PHP alors qu'en challenge, on recoderais la fonction à coup de str_replace pour y laisser une faille pour pouvoir l'exploit.
De plus, certains challenges (aucun officielement sur n-pn.fr mais il y en as quand meme un :p ) se sont en whitebox, cad que tu connais le code qui tourne sur le serveur (via une archive à dowload)

Il n'existe (je l'espère) aucun faille *réelle* dans les challenges elles sont *simulées* et cette simulation fait que le code n'est pas utile pour apprendre à se protéger.

Après je laisse les autres répondent Wink

***supersnail*** · 08-05-2013, 09h18

Anéfé, les challenges sont simulés (ce qui malheureusement enlève des techniques d'exploitation), par contre on peut toujours considérer l'idée de mettre en place des afterwards pour discuter de la solution des challenges Wink

InstinctHack · 08-05-2013, 12h26

Shirobi tu serais surement étonné de voir les mécanismes qu'il y a derrière (en particulier les miens xD )

notfound · 08-05-2013, 12h37

(08-05-2013, 12h24)Shirobi a écrit : "Anéfé" dafuq?

En effet !

Machin · 08-05-2013, 13h45

(08-05-2013, 12h37)notfound a écrit :
(08-05-2013, 12h24)Shirobi a écrit : "Anéfé" dafuq?

En effet !

Cette tournure a été rendus celebre par Christine Albanel, alors minsitre de la culture, qui l'utilisait a tout bout de champs pendant les debats sur Hadopi à l'assemblé général.

InstinctHack · 08-05-2013, 13h46

C'est pas la propriétaire du pare-feu d'open office elle ?

Machin · 08-05-2013, 13h50

aussi ! Elles a plusieurs exploits à son actif Smile

notfound · 08-05-2013, 14h02

(08-05-2013, 13h46)InstinctHack a écrit : C'est pas la propriétaire du pare-feu d'open office elle ?

Si anéfé !

InstinctHack · 08-05-2013, 14h04

et sinon revenir sur le sujet principal c'est possible ?

oleanna · 08-05-2013, 16h30

Le code n'est plus si intéressant à voir que ça ( par rapport au contexte de base, parce que dans un autre contexte comme la création de challenge ça pourrait être utile mais c'est un autre débat ) puisque
c'est des failles précises qui ne seront jamais vue sur le web et donc pas besoin d'apprendre à les corriger... :/

J'aurais aimé pouvoir regarder le code et me dire :

Donc si je fais ça, concrètement ça me donne ça et donc si je ne veux pas que ça se passe comme ça, il faut que je le fasse autrement... ( je pense pas être très compréhensible xD )

Je verrai si je peux pas me faire un site labo :p... J'aime bien expérimenter en apprenant ^^

is001_fred · (Modification du message : 08-05-2013, 18h07 par is001_fred.)

Salut oleanna,

Si tu veux apprendre sur de vraies failles, cherche sur le net des sites qui proposent des machines virtuelles (complètes et si possible téléchargeables) volontairement "attaquables". Tu pourras ainsi mettre à l'épreuve tes compétences ET étudier des cas réels (obsolètes) de systèmes d'exploitation ou programmes faillibles. Bon courage ! ;-)

oleanna · 08-05-2013, 18h57

(08-05-2013, 18h06)is001_fred a écrit : Salut oleanna,

Si tu veux apprendre sur de vraies failles, cherche sur le net des sites qui proposent des machines virtuelles (complètes et si possible téléchargeables) volontairement "attaquables". Tu pourras ainsi mettre à l'épreuve tes compétences ET étudier des cas réels (obsolètes) de systèmes d'exploitation ou programmes faillibles. Bon courage ! ;-)

bha des labos quoi Big Grin

!

J'en ai vu que je ne connaissais pas sur un autre thread ^^ !

ça quitte le sujet du feedback tout en répondant à ma question secondaire ^^

Globalement merci à tous pour vos réponses Smile

!

Sujets apparemment similaires…
Sujet		Auteur	Réponses	Affichages	Dernier message
	5) Toujours dans le vrai	MadHatter	6	538	10-11-2014, 16h02 Dernier message: gruik
	15) Les variables viennent de loin	Di0Sasm	18	919	05-11-2013, 00h37 Dernier message: Reynolds

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler