Modsecurity han publicado un divertido reto que pondrá a prueba vuestra capacidad para explotar vulnerabilidades de inyección SQL, primero (nivel 1) identificando los vectores de explotación y luego (nivel 2) evadiendo el filtro del famoso WAF open source.
Los objetivos son los portales de demo 'proxificados' de cuatro famosos escáneres de vulnerabilidades comerciales:
El nivel 1 ya tiene ganadores, pero el nivel 2 está esperando todavía que alguien pueda enumerar la base de datos sin disparar ninguna alerta. El premio: una camiseta oficial de ModSecurity cortesía de Trustwave's Spiderlabs.
pd. ModSecurity SQL Injection Challenge: Lessons Learned
Los objetivos son los portales de demo 'proxificados' de cuatro famosos escáneres de vulnerabilidades comerciales:
- IBM (AppScan) - demo.testfire.net site
- Cenzic (HailStorm) - CrackMe Bank site
- HP (WebInspect) - Free Bank site
- Acunetix (Acunetix) - Acuart site
El nivel 1 ya tiene ganadores, pero el nivel 2 está esperando todavía que alguien pueda enumerar la base de datos sin disparar ninguna alerta. El premio: una camiseta oficial de ModSecurity cortesía de Trustwave's Spiderlabs.
pd. ModSecurity SQL Injection Challenge: Lessons Learned
evasión (ya corregida) cortesía de @FluxReiners:
ResponderEliminarhttp://www.modsecurity.org/testphp.vulnweb.com/artists.php?artist=0+div+1+union%23foo*/*bar%0D%0Aselect%23foo%0D%0A1,2,group_concat%28column_name%29from+%28information_schema.columns%29+where+table_name+rlike+%280x61727469737473%29