寻找热爱安全方面的朋友共同完成一个SQL注入的小项目

2013-07-27 17:40:07 +08:00
 fucker
目前项目已经完成了前台注入,后台ip验证,后台上传的弱点模块。当然对于网络安全来说,仅仅这三个点也只是凤毛麟角。整个项目代码是采用webpy+sqlite+mako编写,还有很多弱点模块需要编写,也有很多代码需要完善。目前项目已经发布在sae上测试这三个功能 http://valo.sinaapp.com 但是sae条件限制,所以sae上的代码已经修改为webpy+mysql+jinja2。我做这个的目的是为了普及互联网安全的重要性,并且提供给初学者一个模拟学习的web平台,但它现在还很小很小,所以希望有人能够加入,和我一起完成它。再补一句,目前的代码已经被南邮采用作为他们下一届安全大赛的试题了!

求加入!
6947 次点击
所在节点    Python
73 条回复
ttskym
2013-07-27 19:46:52 +08:00
帮顶,大南邮威武。
janxin
2013-07-27 20:21:50 +08:00
Web攻击模型可以试试OWASP出的webgoat,包含绝大部分的web常见攻击方式,不过是入门阶段的
楼主的项目也不错 :)
fucker
2013-07-27 21:13:21 +08:00
@janxin 你说的没错,出名的还有DVWA,但现在大多数代码都是基于php的。这样的话,如果测试项目是自己用,还没什么人,如果是给一部分人用,那么即便仅仅是测试,测试程序的代码本身的安全性还是略为堪忧,如果再作为比赛试题的话,也有泄露源码的风险。如果是用python或者是perl、ruby、nodejs这样的来做,就可以从根源上避免作为比赛用题的尴尬境地。。。
大神有性趣参与不?目前是我一个人在做,还有很多很多东西需要添加上去。
fucker
2013-07-27 21:14:31 +08:00
@ttskym 抱歉哈,刚才在无聊关注了一下昨天CJ的黄陶大战。。。
ttskym
2013-07-27 21:33:18 +08:00
@fucker 你南邮的?
panlilu
2013-07-27 22:48:56 +08:00
@fucker 好久没有玩这种了。。
做到了这一步。。

恭喜你获得了本关第二个KEY: (已隐去)
接下来的挑战是得到一个webshell~
tip:Valo大牛的服务器似乎是CentOS5.5 + Apache2.0.52 + php5.2

话说。。sae的python环境不能这么玩吧。。
fucker
2013-07-27 23:04:09 +08:00
@ttskym 不不不,我朋友是
fucker
2013-07-27 23:05:29 +08:00
@panlilu 厉害啊!第一关就卡了不少人呢!代码还需要改进啊,包括设计思路,求加入啊!
panlilu
2013-07-27 23:12:02 +08:00
@fucker 后面上传文件失败是不是目前属于这个游戏还没完善?
我建议可以用一下社会工程学,登陆到某ssh或者拿到邮箱再通过邮箱找回哪儿的密码?(这是目前危险性最大的东西了吧我觉得。。)

凑后台地址凑了好久。。
binux
2013-07-27 23:16:26 +08:00
@fucker 这。。如果不说,这完全就是一个静态页。。太没有典型性了
fucker
2013-07-27 23:48:58 +08:00
@binux 也不能这么说吧,现在伪静态技术已经很成熟了,以前参加一比赛也是伪静态,更坑爹,直接给的是图片。。。
fucker
2013-07-27 23:51:30 +08:00
@panlilu 上传不是不完善,是做了文件后缀的验证和文件头验证,但是后台给了提示说是php的,那么就要加上php标签才可以,构造一个文件文件名可以是xxx.php.rar,文件内容是Rar!<?就可以了
panlilu
2013-07-27 23:58:19 +08:00
@fucker zip被你华丽丽的忽略了=、=,好吧。。我从来没有在mac下压缩过rar
fucker
2013-07-28 00:05:22 +08:00
@panlilu 有没有性趣一起啊,大神。社工方面我也有考虑,现在很传统的比赛方式是给一个邮箱或者给一个xss,然后直接发xss平台构造好的链接,下一步就是进后台。我现在是在思考一种新的方式。还有,我原来设计的后台部分并不是通过一个注入拿两个key,但是南邮方面说是注入拿一个key,HTTP_X_FORWARDED_FOR一个key,上传一个key。我原来设计的是HTTP_X_FORWARDED_FOR注入。。。。
panlilu
2013-07-28 00:12:49 +08:00
我想到一个idea是你可以用webapp包装一下,去sql注入restful的api。(虽然写个webapp停费工夫的,不过这样看上去就高端洋气了很多
HTTP_X_FORWARDED_FOR注入 这个idea不错。。(有点偏了吧

另外最近真的很忙,抽不出时间弄这个见谅。
ps 不太喜欢把兴趣说成 “性趣”。但愿你不是故意的=。=
binux
2013-07-28 00:37:10 +08:00
@fucker 谁知道你给的是不是真静态啊
kojp
2013-07-28 00:52:03 +08:00
@panlilu

valo 是大牛? 好耳熟. . . 好像是个学生.
panlilu
2013-07-28 01:04:27 +08:00
@kojp 不不不,中间那段是我到了那里显示的原话,我只是复制啊(忘了加引号了)
valo。。我耳都不熟- -
fucker
2013-07-28 01:06:18 +08:00
@binux 所以才需要测试啊。。。其实测试一下就知道是不是真静态了,测试起来也很简单啊!
fucker
2013-07-28 01:07:07 +08:00
@kojp valo的确是一位神一样的大牛,是我的好朋友。如果你见过他,那么应该是在wooyun,习科或者其他著名论坛里面。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/77154

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX