Το SecNews δημοσιεύει την λύση του διαγωνισμού Pwnzilla που διοργανώθηκε σε συνεργασία με το Πανεπιστήμιο Πειραιώς και καλούσε ερευνητές ασφάλειας, security enthusiasts, αλλά και οποιονδήποτε το επιθυμούσε να δοκιμάσει τις γνώσεις του στην παραβίαση συστημάτων μέσω εφαρμογών Web.
Κατά γενική ομολογία ο διαγωνισμός είχε ιδιαίτερα αυξημένο βαθμό δυσκολίας και δεν ήταν εύκολος ο εντοπισμός της αδυναμίας SQL Injection με χρήση γνωστών εργαλείων και αυτοματοποιημένων Tools. Αυτό δεν εμπόδισε πάνω από 930 ερευνητές, μεμονωμένους χρήστες αλλά και υπεύθυνους ασφάλειας τραπεζών, τηλεπικοινωνιακών φορέων και εταιρειών να λάβουν ενεργό μέρος.
Όπως είχαμε αναφέρει σε προηγούμενο άρθρο ο Έλληνας ερευνητής penetration tester, Ευάγγελος Μουρίκης γνωστοποίησε στην συντακτική ομάδα του SecNews αλλά και στο Πανεπιστήμιο Πειραιά, step-by-step την πλέον ολοκληρωμένη λύση του challenge.
Ο Ευάγγελος Μουρίκης αποδείχτηκε ως ένας από τους πλέον high-skilled που συμμετείχαν, μιας και εντός ολίγων μόνο ημερών αποκωδικοποίησε πλήρως το Challenge. 
Αξίζει να αναφέρουμε οτι εκτός του Ευάγγελου Μουρίκη ανάλογη λύση λάβαμε σε μεταγενέστερο χρόνο από τον χρήστη Γεώργιο Σπανό.
Δημοσιεύουμε την πλέον αναλυτική λύση όπως ακριβώς μας την απέστειλε ο κ. Μουρίκης παρακάτω:
[gview file=”Pwnzilla_Writeup.pdf” save=”0″]
Μάλιστα ο penetration tester δημιούργησε και τα κατάλληλα δικά του υποπρογράμματα ώστε να διεξάγει τον έλεγχο του γρήγορα και να παρακάμψει τα όποια μέτρα ασφάλειας είχαν τεθεί στον κώδικα της εκτεθειμένης εφαρμογής!
Εκτός από τον κ. Ευάγγελο Μουρίκη που εντυπωσίασε όλους με το υψηλό γνωστικό του επίπεδο, αξίζει να παραθέσουμε τα συγχαρητήρια μας στο τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραια και συγκεκριμένα στον Επίκουρο Καθηγητής του Παν. Πειραιώς, κ. Χρήστο Ξενάκη ως επιστημονικό υπεύθυνο του Pwnzilla αλλά και του τεχνικού επιμελητή Υποψήφιου Διδάκτωρ του Τμήματος Ψηφιακών Συστημάτων κ.Αναστάσιου Στασινόπουλου που ανέλαβε την τεχνική υλοποίηση της άσκησης.
[wdca_ad id=”74823″ ]
Σύντομα αναμείνατε νέους αντίστοιχους διαγωνισμούς που θα αναδείξουν νέα ταλέντα στην ασφάλεια πληροφοριακών συστημάτων και εντοπισμού αδυναμιών σε πραγματικά συστήματα. Η διαχειριστική ομάδα του SecNews προσπαθεί σε συνεννόηση με χορηγούς χρηματοπιστωτικά ιδρύματα και τηλεπικοινωνιακούς παρόχους που εκδήλωσαν ενδιαφέρον για την διεξαγωγή νέων διαγωνισμών για την ανάδειξη νέων ταλέντων, να επιτύχει την καταβολή χρηματικών επάθλων αντίστοιχων των Bug bounty που παρέχουν εταιρείες στο εξωτερικό.
Μείνετε λοιπόν συντονισμένοι για νεότερα. Ευχαριστούμε όλους τους συμμετέχοντες! Ο εξυπηρετητής θα μείνει ενεργός ώστε να δοκιμάσει την λύση όποιος το επιθυμεί!
