السلام عليكم
كعادتي بعد مشاركتي في حدث أو مؤتمر
أكتب عن انطباعي أو مشاركتي
هذه المرة لا أفضل أن أكتب عن انطباعي واكتفي بذلك وسأقتصر على مشاركتي في الحدثة
فكرة الحدث جميلة نوعاً ما
الحدث مؤتمر يحتوي على محاضرات علمية قيمة
وفي خلفية المؤتمر تجري مسابقة بين عشر فرق
الفرق تتنافس في مسابقة تقنية تشحذ الفكر وتمحص المواهب
مشاركتي هذه المرة كانت من خلف الكواليس
حيث انحصرت في التالي:
1- وضع الأسئلة التصفيات
2- وضع سؤال الأمان في المسابقة
3- التحكيم في المسابقة
النقطة الثانية هي المحور الأساسي في الحديث هنا
وضعت ثلاثة أسئلة بسيطة
السؤال الأول
كان خطأ شهير في برمجة الويب
يقوم المبرمج فيه بإرسال معلومات إلى المستخدم
ويعتمد عليها في برنامجه وهذا بالطبع غير آمن
تعمدت أن يكون السؤال في متناول الجميع
فلم أضع hidden field ولم أحاول إخفاء المشكلة الموجودة
السؤال الثاني وهذا نصه
“محمد يمتلك موقع تجارة إلكترونية
لو عرفت أن محمد يخزن بيانات عملاؤه في إحدى الجداول التالية
user, users, customers, userId, userId1, customer1, users1
أنت تعرف أن محمد سينتبه في يوم من الأيام إلى الثغرة الموجودةفي الموقع
وهناك شخص مشهورة بغناه تعرف أن بريده الإلكتروني هو aladiaa1@hotmail.com وهو مشترك في موقع محمد
قم بالبحث عن الثغرة ومحاولة الاستفادة منها حسب الحالة المذكورة اكتب الخطوات التي قمت بها ”
الأساس في السؤال بسيط وهو SQl injection
الدروس المستفادة في الموضوع لا تعتقد أن كل الأشرار أغبياء 🙂
كما يشير السؤال بطريقة أو بأخرى إلى أهمية التأريخ للبيانات history لأن الهكر الذكي لا يجعلك تعرف بأنه اخترقك 😉
السؤال الثالث
“محمد يستخدم الصفحة كعميل
محمد يقوم بإدخال بياناته كعميل
هذ البيانات يتم الإطلاع عليها من قبل موظفي الموقعهل يستطيع محمد أن يجعل الصفحة ترسل المعلومات التي يقوم بإدخالها المواظفون إلى موقعه الخاص
اللغة jsp”
الأساس في السؤال هوه code injection
والسؤال يقول ببساطة حتى html injection قد يجعل موقعك خدعة لموظفيك أو مستخدميك
أكثر الفرق نقاطاً في فرع الأمان أجاب على سؤالين من ثلاثة الفرق الأخرى لم تجب إلا على فرع واحد فهل تستطيع أنت أن تجيب أكثر 🙂
كنت أفكر بتطوير الأسئلة لتصبح أكثر تحدياً لكني لا أجد في نفسي الطاقة الكافية لذلك لذا بالأغلب هذه هي النسخة النهائية من الموضوع
لا أريد أن أنشر الإجابات لأترك فرصة لمن لم يشارك في المسابقة أن يجرب نفسه
مع كل ما حصل في الحدث ومع كل الشعور السيء الذي أحسست به
إلا إني سعيد بمشاركتي هذه سعيد لأني راضي عن نفسي ولأني شاركت في خلق جو ممتع للحدث
مرفق مشروع الجافا للمحاولة [download id=”28″]
لمعرفة إجابات الأسئلة بإمكانكم مراسلتي وستحصلون على ما أعتقد أنا أنه إجابة نموذجية
تحياتي
مرحبا سيد علاء..
أفتقد متعة التعلم التي لديكم أستاذ..
هل من الممكن أن ترفق الحل؟! ^_^
هل حاولتي؟
راسليني على البريد الإلكتروني الخاص بي عندما تيأسي 🙂
-_- سأحاول أستاذ..ليس من عادتي أن أيأس لكن هذا يتطلب وقتا
لك شكري مع التحية
لو حابة ما عندي مشكلة أبعتلك الحل 🙂
على فكرة أنا تركت الجافا من زمان وانتقلت للC ..لكن مع ذلك اشتاقق للجافا