News
Challenges
Solutions
Forum
Offres
一系列新的挑战:回到未来
以下是很久以前在一个遥远的星系中提交的挑战,现在已经公布。
- ELF x64 - Stack buffer overflow - PIE
- Python - format string
- Lua - Bytecode
- Bash - VM
- PE DotNet - Basic Anti-Debug
- HTTP - IP restriction bypass
- ELF x64 - Double free
感谢Esad, Cyrhades, nqnt, govlog, Bernstein, lovasoa, HomardBoy的合理耐心。
每个人都有自己的东西,快乐的黑客攻击!
一系列新的挑战:LaTeX
LaTeX语言对于撰写带有复杂数学公式的科学论文非常有用。虽然它非常有用,但安全问题并不是这种语言的核心问题。
在这一系列的挑战中,你将学会如何检测LaTeX中的一些常见的漏洞,以及如何利用这些漏洞
非常感谢 Mhd_Root 和 Podalirius 对这一系列挑战的工作 !
新的支持:Discord服务器
现在为您提供了一种新的 Discord 沟通支持。
Root-Me Discord服务器可通过以下邀请公开访问:https://discord.gg/wpk8xHr。
任何拥有Root-Me账户的人都可以自由加入服务器并使用所有可用的交流渠道。您可以与Root-Me社区聊天,获得挑战方面的帮助,与Root-Me协会的工作人员和成员保持联系,并了解最新的新闻和Root-Me项目。
为了能够访问服务器,你必须。
– 按照邀请链接,使用电子邮件已被验证的迪斯科账户。
– 当你到达时,阅读并接受 Discord 服务器规则
– 通过私信向Root-Me#3551机器人发送命令,让它验证你的账户。
!verify YourApiKey
你会在你的account settings 中找到你的API密钥。
更多信息见Discord 页面。
一系列新的挑战:无线电频率(RF)。
一系列新的挑战。内容安全政策(CSP)
CSP是一项相对较新的技术,允许定义应该应用在客户端(Web浏览器)的安全策略。通过这一系列新的挑战,识别配置错误并了解相关的绕过技术。
- CSP Bypass - Inline code
- CSP Bypass - JSONP
- CSP Bypass - Dangling markup
- CSP Bypass - Dangling markup 2
再次感谢CanardMandarin在这方面的工作!
新赞助商:ENSTA
我们很荣幸地欢迎公共机构ENSTA Bretagne ,成为Root-Me的新学术赞助商。该工程学院将使用Root-Me PRO环境对其学生进行网络安全培训。
ENSTA Bretagne 及其历史与法国的工程、工业、军火库和新技术的历史并驾齐驱,建立在自1819年以来在布雷斯特校园进行培训的传统之上。
数据盗窃—密码重复使用
What happened?
从结构上看,Root-me基金会一直信任所有的成员,就这一点而言,最活跃的成员一般都有管理权限。
一个平台管理员在他的时间里为项目做出了很大的贡献,此后他逐渐淡出,追求他的职业和家庭生活,成为密码重用攻击的受害者:他的电子邮件密码出现在一个泄漏中,不幸的是,它与Root-Me平台上的密码相同。这个被泄露的账户被用来获得对后台的不正当访问,而所有的Root-Me都是由后台管理的。
它是什么时候发生的?
入侵从5月23日开始,一直持续到第二天,即2020年5月24日。
影响是什么?
挑战解决方案以及电子邮件地址被盗。密码哈希值不受影响。其他被盗数据,如公共GPG密钥或用户名,已经是显示在个人资料上的公共信息。
,现在呢?
为了保护我们的后台,从而保护你的数据,我们决定为具有管理权限的账户设置基于GPG的双因素认证。