Το SecNews δημοσιεύει την λύση του διαγωνισμού Pwnzilla που διοργανώθηκε σε συνεργασία με το Πανεπιστήμιο Πειραιώς και καλούσε ερευνητές ασφάλειας, security enthusiasts, αλλά και οποιονδήποτε το επιθυμούσε να δοκιμάσει τις γνώσεις του στην παραβίαση συστημάτων μέσω εφαρμογών Web.
Κατά γενική ομολογία ο διαγωνισμός είχε ιδιαίτερα αυξημένο βαθμό δυσκολίας και δεν ήταν εύκολος ο εντοπισμός της αδυναμίας SQL Injection με χρήση γνωστών εργαλείων και αυτοματοποιημένων Tools. Αυτό δεν εμπόδισε πάνω από 1000 ερευνητές, μεμονωμένους χρήστες αλλά και υπεύθυνους ασφάλειας τραπεζών, τηλεπικοινωνιακών φορέων και εταιρειών να λάβουν ενεργό μέρος.
Όπως είχαμε αναφέρει σε προηγούμενο άρθρο ο Έλληνας ερευνητής penetration tester, Γεώργιος Σπανός γνωστοποίησε στην συντακτική ομάδα του SecNews αλλά και στο Πανεπιστήμιο Πειραιά, step-by-step την πλέον ολοκληρωμένη λύση του challenge.
Αξίζει να σημειωθεί ότι και πέρσι ο Γεώργιος Σπανός είχε βρει την λύση του πρώτου Pwnzilla, αλλά μεταγενέστερα σε σχέση με εκείνη του Ευάγγελου Μουρίκη.
Δημοσιεύουμε την πλέον αναλυτική λύση όπως ακριβώς μας την απέστειλε ο κ. Σπανός παρακάτω:
Μάλιστα ο penetration tester δημιούργησε και τα κατάλληλα δικά του scripts ώστε να διεξάγει τον έλεγχο του γρήγορα και να παρακάμψει τα όποια μέτρα ασφάλειας είχαν τεθεί στον κώδικα της εκτεθειμένης εφαρμογής!
Εκτός από τον κ. Γεώργιο Σπανό, που εντυπωσίασε όλους με το υψηλό γνωστικό του επίπεδο, αξίζει να παραθέσουμε τα συγχαρητήρια μας στο τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραια και συγκεκριμένα στον Επίκουρο Καθηγητής του Παν. Πειραιώς, κ. Χρήστο Ξενάκη ως επιστημονικό υπεύθυνο του Pwnzilla αλλά και του τεχνικού επιμελητή Υποψήφιου Διδάκτωρ του Τμήματος Ψηφιακών Συστημάτων κ.Αναστάσιου Στασινόπουλου που ανέλαβε την τεχνική υλοποίηση της άσκησης.
Τέλος να υπενθυμίσουμε ότι μεγάλοι χορηγοί του διαγωνισμού PwnZilla για το 2015 ήταν η εταιρεία Hosting Host1Plus, που προσφέρει το δώρο για τον μεγάλο νικητή αλλά και η ιστοσελίδα τεχνολογίας iGuRu ως χορηγός επικοινωνίας.
Σύντομα θα υπάρξουν νέοι διαγωνισμοί που θα αναδείξουν νέα ταλέντα στην ασφάλεια πληροφοριακών συστημάτων και εντοπισμού αδυναμιών σε πραγματικά συστήματα. Η διαχειριστική ομάδα του SecNews προσπαθεί σε συνεννόηση με χορηγούς χρηματοπιστωτικά ιδρύματα και τηλεπικοινωνιακούς παρόχους που εκδήλωσαν ενδιαφέρον για την διεξαγωγή νέων διαγωνισμών για την ανάδειξη νέων ταλέντων, να επιτύχει την καταβολή χρηματικών επάθλων αντίστοιχων των Bug bounty που παρέχουν εταιρείες στο εξωτερικό.
Μείνετε λοιπόν συντονισμένοι για νεότερα σχετικά με την απονομή του επάθλου.
Ευχαριστούμε όλους τους συμμετέχοντες!