Już od kilku lat nie zajmuję się bezpośrednio testowaniem, ale od czasu do czasu nachodzi mnie ochota, by się pobawić i sprawdzić jak bardzo "zardzewiałem". Wiele czasu na to nie mam, ale tak jakoś w takiej wolniejszej chwili w katalogu OWASP Vulnerable Web Applications Directory Project znalazłem to: Altoro Mutual.
Tak, ta strona powstała po to, by pokazać jak bardzo pewne skanery są efektywne w związku z czym jest nafaszerowana podatnościami w sposób nieco nierealistyczny, ale... No właśnie, tych podatności jest może za dużo, za łatwo je znaleźć (wpisywanie szczegółowych informacji o błędach mogli sobie darować), ale same typy podatności są prawdziwe. To nie jest jakiś CTF bardzo wyrafinowany technicznie, ale prezentujący jakiś przypadek praktycznie niewystępujący w naturze. Takie podatności naprawdę znajdowałem w trakcie pracy i wiem, że nadal są znajdowane.
Na stronie OWASP podane są dane do logowania jednego z użytkowników, ale (mały spoiler) nie są potrzebne. Być może (znów - zależy od czasu) napiszę kilka słów / przykładów jak się do testowania zabrać.
I na koniec "wyzwanie" - dojść do tego w jaki sposób w tej aplikacji można wykonywać przelewy bez uwierzytelnienia. Jeśli ktoś chce podnieść poprzeczkę - dojść do tego jak to zrobić mając do aplikacji wyłączenie dostęp anonimowy (hint: SWRlbnR5ZmlrYXRvcnkgdcW8eXRrb3duaWvDs3cgc8SFIGR6aWV3acSZY2lvY3lmcm93ZS4gSGludCAyOiBUbUVnY0hKNmVXdkZnbUZrT2lBeE1EQXhNVFl3TVRNPQ==).
