SQL Injection Mystery Cache

VAROVÁNÍ: Pokud nevíte, co je to SQL injection, neztrácejte s touto keší čas, zřejmě se vám jí nepovede vyluštit. Luštění vyžaduje vyšší znalosti z IT oboru.

Czech version

SQL Injection patří mezi velmi kritické chyby webových aplikací. SQL Injection umožňuje útočníkům zobrazit, měnit, přidávat či mazat informace z vaší databáze. Může se jednat např. o hesla a přístupové údaje, osobní údaje uživatelů, faktury, zakázky a podobně. O tom, že se jedná o skutečnou hrozbu pro každou webovou stránku, vás přesvědčí tato cache.

Jak už to tak bývá, keš se nenachází na výchozích souřadnicích. Finální souřadnice zjistíte po přihlášení na následující webové stránce, která byla vytvořena speciálně pro hru geocaching:

http://simi.us.to/~sqlinjection/

Jednoduché, že? Ale počkat... Jaké jsou vlastně přihlašovací údaje? Zahrajte si na hackera a zjistěte si je sami;)

VAROVÁNÍ: v žádném případě není dovolenou používat jakýkoliv jiný typ útoku (brute force, DoS...) ani útočit na jakoukoliv jinou službu či webovou stránku poskytovanou tímto serverem. Pokud zjistím nějaké nedovolené chování, bude cache okamžitě zrušena. Nekažte prosím zábavu sobě ani ostatním.

Vznik této keše byl inspirován projektem do předmětu Bezpečnost informačních systému na FIT VUT. Tímto děkuji svým lektorům:)

English version

SQL Injection belongs to the most critical web application erros. SQL injection allows attackers to view, modify, add and delete information from your database. These information could be e.g. passwords, user's personal information, bills, contracts etc. This cache shows you that SQL Injection is real threat to every web page.

The cache is not on the original coordinates. You will find out the final coordinates after login to a following website, which was created specifically for the game geocaching:

http://simi.us.to/~sqlinjection/

Simple, right? But wait... What are the credentials? Play the hacker for a while and find out them yourself;)

WARNING: It is not allowed to use any other type of attack (brute force, DoS...) or attack any other services or Web pages provided by this server. If I discovered any illegal behavior, the cache will be disabled. Please, do not spoil the fun for other cachers.

Logbook #1 ze dne 11.11.2014