Istnieje przynajmniej jedna osoba, która usiłuje podołać wyzwaniu. Ktoś więcej próbuje? Patrząc w logi mam pewne wątpliwości... W każdym razie pora na kolejne wskazówki.
Bootcamp VIII: wyzwanie (hint III)
Wiadomo już, że:
- można odróżnić istniejącego i nieistniejącego użytkownika,
- jest sql injection w nazwie użytkownika,
To teraz podpowiedzi:
- Co jest przesyłane do serwera przy próbie uwierzytelnienia?
- Czy można określić jak przesyłana wartość jest wyliczana?
- Jak (prawdopodobnie) wygląda weryfikacja hasła po stronie serwera?
- Do czego może przydać się sql injection?
Jako podpowiedzi do podpowiedzi:
- Bootcamp: (blind) SQL injection - zwłaszcza część o blind,
- Jak zepsuć prostą rzecz
hashe md5 i tokeny śnią mi się po nocy
czekamy na następne świetne zadania:)
A co do kolejnego zadania, to trochę będę musiał pomyśleć nad czymś sensownym. Na razie planuję kilka takich bardziej edukacyjnych przykładów odnośnie encodingu danych wyjściowych w zależności od kontekstu.