Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
rozwal.to premium premiera
Nie czekamy już dłużej i udostępniliśmy dla wszystkich rozwal.to premium. Na początek można się „pobawić” przez dwa dni zupełnie bezpłatnie (pierwszych 100 osób; kod rabatowy: rozwal-premiera-start kilka pierwszych osób dostanie dużą ilość dni na start).
Mimo załatania około 150 błędów, pewnie jeszcze parę można wykryć – szczególnie, że na start mamy w platformie już 600 kont. Jeśli ktoś widzi jakiś problem z działaniem – prośba o zgłoszenie na rozwal@securitum.pl -> będziemy przyznawać pakiety darmowych dni (7 lub 14):
FAQ:
Q: Do czego służy platforma?
A: Do nauki bezpieczeństwa IT. Dostępna jest teoria, filmy, zadania, rozwiązania zadań. Dostępny jest też film dla początkujących – zakładka 'Jak zacząć’.
Q: Czy platforma jest dobra dla początkujących?
A: Tak.
Q: Czy platforma jest dobra dla zaawansowanych?
A: Tak.
Q: Co ze starym serwisem rozwal?
A: Będzie on dostępny niedługo pod inną domeną, a docelowo będziemy wszystko migrować po prostu na rozwal.to (migrując zadania, bardzo dużo z nich będzie dostępna bezpłatnie – podobnie jak na starym rozwalu)
Q: Dodacie profile użytkowników, osiągnięcia?
A: Tak, mamy zakończoną implementację na wersji testowej serwisu
Q: Kiedy nowe filmy/zadania?
A: Będziemy je sukcesywnie dodawać, a info o większych paczkach nowości będzie wysyłane do użytkowników rozwal.to (wszystkich)
Q: Czy możecie dodać opcję wykupu np. 10 dni, ale tak żeby można było je używać po jednym (nie od razu dziesięć). Nie wszyscy mają czas non stop siedzieć nad platformą/zadaniami.
A: Tak, będzie taka opcja.
Q: Czy można od Was otrzymać darmowe dni?
A: Tak, jeśli masz pomysł na ciekawe zadania na rozwala, podeślij info na rozwal@securitum.pl i się dogadamy.
–ms
nie moge sie zalogować.. potwierdziłęm maila, zmieniłem hasło, nic nie pomaga
podeślij szczegóły na rozwal@securitum.pl -> obadamy
mam komunikat:
„Podałeś złe dane do logowania. Spróbuj ponownie.”
A jest to niemożliwe, bo dane generowałem w menedżerze haseł i dokładnie takie były przyjęte podczas rejestracji (hasło 30 znaków, losowe, pełna pula z klawiatury).
Chyba, że to pierwsze zadanie… ;-)
Potrzebny jest akcept przez admina (jest o tym komunikat w rejestracji) – dostajesz wtedy 2giego maila że Twoje konto zostało aktywowane.
Fajna inicjatywa i ogólnie popieram, ale co do wykonania to wiele do życzenia pozostaje :)
1. Przerwa techniczna ok 1 godziny
2. Cały czas błąd 405 Not Allowed (chociaż nie wydaje mi się żebym coś źle robił, no ale możeee)
3. Jak kolega wyżej – po rejestracji nie działa hasło… resetowałem 3/4 razy (na to samo hasło) dopiero zadziałało
PS Szkoda bo mi się premium marnuje :P
Pozdrawiam
Hej
1. Tu wrzucaliśmy patchowanie problemu z CAPTCHA
2. Już naprawione – był timeout 5min, jest teraz 1h
3. False positive :)
Na razie są 3 opcje długości doładowania, i wg faq ma jeszcze dojść taka z możliwością wybierania dni pojedynczo(sam bym taką preferował). Może warto rozważyć jeszcze dostęp lifetime – wiadomo, odpowiednio drogi (200?, 500?), ponieważ utrzymanie infrastruktury kosztuje.
No właśnie, będziemy wirtualizować część zadań = koszty infry :( Lifetime pewnie nie, ale na rok tak, na razie jest jeszcze abonament w 1/3 ceny normalnej – czyli 9.99 za tydzień.
Ile trzeba czekać na e-mail do potwierdzenia założenia konta? Czekam, czekam, i nic nie przychodzi.
Chwilę, ale niedługo (parę dni) przełączymy serwis w tryb autoakcept.
Rejestracja jest dość upierdliwa
Już jest włączony autoakcept, więc wystarczy że potwierdzić maila i ognia!
Abonament kupiony, zapowiada się ciekawie
Aha, i jeszcze na race conditions 1 pojawiła mi się zaraz po pierwszym wejściu na stronę flaga ;/ Szczerze mówiąc zepsuło mi to trochę zabawę.
Tak, to jest do wymiany -> czyli realnie do zwirtualizowania zadania per user, a na to trzeba troszkę czasu i pewnie niestety kosztów u nas :/
Udało mi się zestackować dwa kody rabatowe ;)
i 14 dni za 12, 92zł.
Mega ;-)
Jak najbardziej można :-)
Czy serwer od websockets nie działa? Już drugi dzień dostaję „can’t establish a connection to the server at ws://zadania.rozwal.to:8081/”
Tak, ktoś dzisiaj zgłosił, obadamy jutro z rana.
A co z zadaniem z Code Injection? Będzie ono jeszcze przywrócone czy zostało już usunięte na stałe?
Będzie + pojawią się nowe :)
Serwer znowu nie działa (wysłałem request z '#’ w loginie i przestał odpowiadać)
może Cię coś wycięło?
Dalej to samo, wysłanie requesta {„login”:”’or’1’=’1’#”,”pass”:””} powoduje 502 Bad Gateway, da się coś z tym zrobić?
(zadanie „Spróbuj zalogować się jako…”)
Fajna rzecz, ale system podpowiedzi można by zmienić tak aby po jedym kliknięciu nie trzeba za nie dawać punktów drugi raz :).
Plus proponuje taki system finansowania:
Darmowy dostęp do wszystkich zadań.
Płatne materiały, podpowiedzi.
Raczej zostanie jak jest, a będzie dużo więcej też darmowych zadań (z odpowiedziami)
Wydaje mi sie ze buga znalazlem, ale sami ocencie. Zrobilem zadanie SQL Injection -> Ukryta zawartość. Dostalem flage, ktora wrzucilem. Zapalilo mi sie zadanie na zielono i +100 punktow. Kliknalem na podpowiedź przy tym zadaniu i …. juz mi zostalo 85 punktow chociaz wczesniej wpisalem prawidowa flage do ktorej sam doszedlem. Albo nie powinno to odejmowac punktow, albo podpowiedzi nie powinny byc dostepne po rozwiazaniu zadania.
Dodam na szybko ze klikniecie w takiej sytuacji na – pokaz rozwiazanie – zeruje calosc zdobytych punktow z tego wczesniej rozwiazanego zadnia
Tego juz nie musicie upublicznic w komentarzach ale rozwiazanie uzyskalem innym sposobem niz w podane w rozwiazaniu, a dokladniej do tak:
[…]
Ale taka jest właśnie uroda tych zadań (nie są symulowane tylko realne :) więc można je rozwiązać na różne sposoby.
dokładnie, jeśli ktoś zrobił już jakieś zadanie to nie powinno się tracić punktów
Zrobcie zglaszanie pomyslow/uwag przez formularz (nie mailto). Ktos kto nie ma zainstalowanego klienta poczty nie skontaktuje sie z Wami.
a nawet jak się wyśle maila (i później jeszcze 2) to odpowiedzi nie ma :|
Kiedy można się spodziewać przywrócenia starego rozwal.to?
Czy voucher na szkolenie można wymienić na dostęp do nowego rozwal.to (nie dostałem odpowiedzi na to pytanie zadane przez formularz kontaktowy)?
a jaki masz voucher na szkolenie? Ogólnie na naszych szkoleniach ludzie będą też dostawać ~10-14 dniowe vouchery na rozwal.to (żeby się mogli pobawić po szkoleniu)
Jeśli chodzi o zadania z poprzedniej wersji serwisu, piszecie, że będziecie je sukcesywnie migrować, ale czy planujecie dodać odpowiedzi również dla nich? Niektóre są szalenie trudne i fajnie byłoby poznać chociaż małą wskazówkę, np. dla sylwestrowego sql injection… :)
tak, będzie cześć odpowiedzi
Screen w zadaniu XSS nie działa
potwierdzam, moglibyście to poprawić
W trakcie
W zakładce NoSQL wyświetla mi się, że jest wymagane konto premium, mimo że zostało mi jeszcze 7 dni
Tak, podłączamy zupełnie nowe zadania (m.in. NoSQLi) – jak będą gotowe to wszyscy premium od razu dostaną dostęp :)
Z nowych działających są już np. nowe zadania z XSS-ów.
Czy stary serwis jest gdzieś dostępny?
tak
Jaki adres? :D
https://stary.rozwal.to/
niedziała128bitowehasło – podobno niespełnia wymagań. to co plaintekstem je zapisujecie?