Stigoh napokon da napišem par reči na temu prošlonedeljnog finala HTG-a na Sinergiji 08.
Rang lista finalnog takmičenja izgleda ovako:
1. Benko Szabolcs
2. Nenad Vijatov
3. Justin Laslo
Finale je bilo malo komplikovanije od kvalifikacija, a cilj je bio da se takmičari sami upišu na rang listu. Ko se prvi upiše, taj je pobednik, drugi osvaja drugo mesto i tako redom. Sam zadatak se sastojao od jednog nivoa, ali i povezivanja nekoliko ranjivosti da bi se stiglo do cilja. Prvo je bilo neophodno izvesti blind SQL injection i na taj način doći do administratorskog naloga, zatim se ulogovati na aplikaciju kao admin, pogoditi ime fajla koji predstavlja rang listu (bio je maštovito nazvan RangLista.aspx) i prevariti Unix Timestamp u URL-u koji je branio upisivanje na rang listu pre određenog vremena i to sve za 30 minuta koliko smo zamislili da traje finale.
Nakon desetak minuta, morali smo malo da pomognemo takmičarima da bi ih usmerili ka pravom putu s obzirom da se većina vezala za tipove napada iz kvalifikacija, prvenstveno za XSS, koji nisu postojali u finalu.
Uz malo muke za takmičare (trema, publika, pritisak, ograničeno vreme...) i nešto pomoći sa naše strane, dobili smo pobednike.
Kompanija Desk je podelila vredne nagrade, a predstavnici Microsofta su najavili da potoji šansa da HTG postane jedna lepa tradicija na budućim Sinergijama - unapred se radujemo.
Koristim ovu priliku da se zahvalim kolegi Ivanu Markoviću koji je pomogao u pripremi HTG takmičenja svojim velikim iskustvom u testiranju bezbednosti web aplikacija, Stanku Nikoliću iz Microsofta, koji je pored milion drugih obaveza oko Sinergije morao još i da programira aplikaciju koju smo posle pokvarili u cilju takmičenja, kao i direktoru Sinergije 08, Vladi Kneževiću koji je inicirao kreiranje ove igre, maksimalno je podržao i bio supervizor celog projekta.
Još jednom čestitam svim učesnicima finala, a posebno kolegama koji su osvojili prva tri mesta!
Do sledećeg HTG-a, veliki pozdrav!