IT Open Day

السلام عليكم

كعادتي بعد مشاركتي في حدث أو مؤتمر
أكتب عن انطباعي أو مشاركتي
هذه المرة لا أفضل أن أكتب عن انطباعي واكتفي بذلك وسأقتصر على مشاركتي في الحدثة
فكرة الحدث جميلة نوعاً ما
الحدث مؤتمر يحتوي على محاضرات علمية قيمة
وفي خلفية المؤتمر تجري مسابقة بين عشر فرق
الفرق تتنافس في مسابقة تقنية تشحذ الفكر وتمحص المواهب
مشاركتي هذه المرة كانت من خلف الكواليس
حيث انحصرت في التالي:
1- وضع الأسئلة التصفيات
2- وضع سؤال الأمان في المسابقة
3- التحكيم في المسابقة
النقطة الثانية هي المحور الأساسي في الحديث هنا
وضعت ثلاثة أسئلة بسيطة
السؤال الأول
كان خطأ شهير في برمجة الويب
يقوم المبرمج فيه بإرسال معلومات إلى المستخدم
ويعتمد عليها في برنامجه وهذا بالطبع غير آمن
تعمدت أن يكون السؤال في متناول الجميع
فلم أضع hidden field ولم أحاول إخفاء المشكلة الموجودة

السؤال الثاني وهذا نصه
“محمد يمتلك موقع تجارة إلكترونية
لو عرفت أن محمد يخزن بيانات عملاؤه في إحدى الجداول التالية
user, users, customers, userId, userId1, customer1, users1
أنت تعرف أن محمد سينتبه في يوم من الأيام إلى الثغرة الموجودةفي الموقع
وهناك شخص مشهورة بغناه تعرف أن بريده الإلكتروني هو aladiaa1@hotmail.com وهو مشترك في موقع محمد
قم بالبحث عن الثغرة ومحاولة الاستفادة منها حسب الحالة المذكورة اكتب الخطوات التي قمت بها ”
الأساس في السؤال بسيط وهو SQl injection
الدروس المستفادة في الموضوع لا تعتقد أن كل الأشرار أغبياء :)
كما يشير السؤال بطريقة أو بأخرى إلى أهمية التأريخ للبيانات history لأن الهكر الذكي لا يجعلك تعرف بأنه اخترقك ;)

السؤال الثالث
“محمد يستخدم الصفحة كعميل
محمد يقوم بإدخال بياناته كعميل
هذ البيانات يتم الإطلاع عليها من قبل موظفي الموقعهل يستطيع محمد أن يجعل الصفحة ترسل المعلومات التي يقوم بإدخالها المواظفون إلى موقعه الخاص
اللغة jsp”
الأساس في السؤال هوه code injection
والسؤال يقول ببساطة حتى html injection قد يجعل موقعك خدعة لموظفيك أو مستخدميك

أكثر الفرق نقاطاً في فرع الأمان أجاب على سؤالين من ثلاثة الفرق الأخرى لم تجب إلا على فرع واحد فهل تستطيع أنت أن تجيب أكثر :)
كنت أفكر بتطوير الأسئلة لتصبح أكثر تحدياً لكني لا أجد في نفسي الطاقة الكافية لذلك لذا بالأغلب هذه هي النسخة النهائية من الموضوع
لا أريد أن أنشر الإجابات لأترك فرصة لمن لم يشارك في المسابقة أن يجرب نفسه

مع كل ما حصل في الحدث ومع كل الشعور السيء الذي أحسست به
إلا إني سعيد بمشاركتي هذه سعيد لأني راضي عن نفسي ولأني شاركت في خلق جو ممتع للحدث

مرفق مشروع الجافا للمحاولة security contest (21)
لمعرفة إجابات الأسئلة بإمكانكم مراسلتي وستحصلون على ما أعتقد أنا أنه إجابة نموذجية

تحياتي

5 Responses to “IT Open Day”

  1. Zainab قال:

    مرحبا سيد علاء..
    أفتقد متعة التعلم التي لديكم أستاذ..
    هل من الممكن أن ترفق الحل؟! ^_^

  2. admin قال:

    هل حاولتي؟
    راسليني على البريد الإلكتروني الخاص بي عندما تيأسي :)

  3. Zainab قال:

    -_- سأحاول أستاذ..ليس من عادتي أن أيأس لكن هذا يتطلب وقتا
    لك شكري مع التحية

  4. admin قال:

    لو حابة ما عندي مشكلة أبعتلك الحل :)

  5. Zainab قال:

    على فكرة أنا تركت الجافا من زمان وانتقلت للC ..لكن مع ذلك اشتاقق للجافا

Leave a Reply