Paul
/
Security-Quiz
1
0
Fork 0
Code Issues Pull Requests Releases Wiki Activity

Added insecure path assignments as extra bonus assignment

Browse Source
Paul Wagener 10 years ago
parent 1087d64aaf
commit 2a822c7b08
2 changed files with 15 additions and 8 deletions
Show all changes Ignore whitespace when comparing lines Ignore changes in amount of whitespace Ignore changes in whitespace at EOL
Show Stats Download Patch File Download Diff File
  1. 8
      templates/bonus.html
  2. 15
      templates/path.html

8
templates/bonus.html
Unescape View File

@ -12,4 +12,12 @@
<div class="alert alert-warning">Het daadwerkelijk uitvoeren van dergelijke hacks voor eigen gewin of verstoren van de functionaliteit van de website is <strong>niet toegestaan</strong>!</div> <div class="alert alert-warning">Het daadwerkelijk uitvoeren van dergelijke hacks voor eigen gewin of verstoren van de functionaliteit van de website is <strong>niet toegestaan</strong>!</div>
<h2>Extra opgave</h2>
<p>Deze opgave leveren geen punten om, maar zijn wel leuk om te maken als je voor de rest alles al af hebt</p>
<ul>
<li><a href="/path">Insecure direct object references</a></li>
</ul>
{% endblock %} {% endblock %}

15
templates/path.html
Unescape View File

@ -7,7 +7,6 @@
<img src="/static/img/imgr.png"> <img src="/static/img/imgr.png">
<h2>Image site</h2> <h2>Image site</h2>
<p>Voor deze opdracht moet je je virtual machine <b>twee keer</b> opnieuw opstarten! Het is belangrijk dat je dit twee keer doet (1x zodat de VM met git zichzelf kan updaten en 1x zodat de VM het nieuwe boot script kan uit te voeren). Anders heb je niet het geheime bestandje op de VM staan... Je kan ook een geüpdatete VM van BlackBoard downloaden.</p>
<p>Ons nieuwe doelwit is de site "imgr", een populaire website waar vaak meme plaatjes naar worden geüpload. Er is geen database dus we kunnen geen SQL injection uitvoeren, en cross-site scripting is ook geen mogelijkheid meer op deze site (...toch?).</p> <p>Ons nieuwe doelwit is de site "imgr", een populaire website waar vaak meme plaatjes naar worden geüpload. Er is geen database dus we kunnen geen SQL injection uitvoeren, en cross-site scripting is ook geen mogelijkheid meer op deze site (...toch?).</p>
@ -19,13 +18,13 @@
<div class="question"> <div class="question">
<span class="question-string">Wat staat er in /etc/geheim.txt? (Het is een supersecret TODO item)</span> <span class="question-string">Wat staat er in /etc/geheim.txt? (Het is een supersecret TODO item)</span>
<div class="points"><span class="question-points">5</span> punten</div> <div class="points"><span class="question-points">0</span> punten</div>
<input class="question-input" name="answer_path_secret" value="{{ answers.answer_path_secret }}"></input> <input class="question-input" name="answer_path_secret" value="{{ answers.answer_path_secret }}"></input>
</div> </div>
<div class="question"> <div class="question">
<span class="question-string">Plak het script dat je hebt gebruikt</span> <span class="question-string">Plak het script dat je hebt gebruikt</span>
<div class="points"><span class="question-points">10</span> punten</div> <div class="points"><span class="question-points">0</span> punten</div>
<textarea class="question-input" name="answer_path_secret_script">{{ answers.answer_path_secret_script }}</textarea> <textarea class="question-input" name="answer_path_secret_script">{{ answers.answer_path_secret_script }}</textarea>
</div> </div>
@ -38,7 +37,7 @@
<div class="question"> <div class="question">
<span class="question-string">Met welke URL kan je nu rechtstreeks de inhoud van /etc/geheim.txt uitlezen?</span> <span class="question-string">Met welke URL kan je nu rechtstreeks de inhoud van /etc/geheim.txt uitlezen?</span>
<div class="points"><span class="question-points">10</span> punten</div> <div class="points"><span class="question-points">0</span> punten</div>
<input class="question-input" name="answer_path_image_url" value="{{ answers.answer_path_image_url }}"> <input class="question-input" name="answer_path_image_url" value="{{ answers.answer_path_image_url }}">
</div> </div>
@ -46,7 +45,7 @@
<div class="question"> <div class="question">
<span class="question-string">Met welke URL kan je met dit meer 'beveiligde' script de inhoud van /etc/geheim.txt uitlezen?</span> <span class="question-string">Met welke URL kan je met dit meer 'beveiligde' script de inhoud van /etc/geheim.txt uitlezen?</span>
<div class="points"><span class="question-points">10</span> punten</div> <div class="points"><span class="question-points">0</span> punten</div>
<input class="question-input" name="answer_path_image_url_prefix" value="{{ answers.answer_path_image_url_prefix }}"> <input class="question-input" name="answer_path_image_url_prefix" value="{{ answers.answer_path_image_url_prefix }}">
</div> </div>
@ -56,7 +55,7 @@
<div class="question"> <div class="question">
<span class="question-string">Met welke URL kan je via het image_remove_traversal.php script de inhoud van /etc/geheim.txt uitlezen?</span> <span class="question-string">Met welke URL kan je via het image_remove_traversal.php script de inhoud van /etc/geheim.txt uitlezen?</span>
<div class="points"><span class="question-points">10</span> punten</div> <div class="points"><span class="question-points">0</span> punten</div>
<input class="question-input" name="answer_path_image_url_remove_traversal" value="{{ answers.answer_path_image_url_remove_traversal }}"> <input class="question-input" name="answer_path_image_url_remove_traversal" value="{{ answers.answer_path_image_url_remove_traversal }}">
</div> </div>
@ -64,7 +63,7 @@
<div class="question"> <div class="question">
<span class="question-string">Beschrijf hoe jij de site zou programmeren zodat alle directory traversal aanvallen niet meer mogelijk zijn.</span> <span class="question-string">Beschrijf hoe jij de site zou programmeren zodat alle directory traversal aanvallen niet meer mogelijk zijn.</span>
<div class="points"><span class="question-points">15</span> punten</div> <div class="points"><span class="question-points">0</span> punten</div>
<textarea class="question-input" name="answer_path_image_fix">{{ answers.answer_path_image_fix }}</textarea> <textarea class="question-input" name="answer_path_image_fix">{{ answers.answer_path_image_fix }}</textarea>
</div> </div>
@ -80,7 +79,7 @@
<div class="question"> <div class="question">
<span class="question-string">Beschrijf hoe je met deze site de inhoud van /etc/geheim.txt kan achterhalen</span> <span class="question-string">Beschrijf hoe je met deze site de inhoud van /etc/geheim.txt kan achterhalen</span>
<div class="points"><span class="question-points">15</span> punten</div> <div class="points"><span class="question-points">0</span> punten</div>
<textarea class="question-input" name="answer_path_include_explain">{{ answers.answer_path_include_explain }}</textarea> <textarea class="question-input" name="answer_path_include_explain">{{ answers.answer_path_include_explain }}</textarea>
</div> </div>

Write Preview
Loading…
Cancel
Save