Log in

Laboratorio FSD

Attenzione: é possibile svolgere gli esercizi assegnati fino al giorno di chiusura dell'iscrizione dell'appello. I compiti consegnati oltre la data indicata saranno validi solo per gli appello successivi a quello corrente.

É possibile sia creare nuovi post che correggere i post giá creati. Il giorno 11/06 saranno pubblicati gli ammessi in base agli esercizi svolti, é possibile vedere la spunta a fianco del proprio account nella pagina di ogni esercizio https://socialnetwork.laser.di.unimi.it/fsd_lab/ (sono aggiornati giornalmente).

Nota per l'es2

L'esercizio 2 non prevede piú l'attivazione di gruppi, é da svolgere in autonomia. La consegna prevede la creazione di un file di testo contenente una sola riga con:

  • il proprio fingerprint RSA (la chiave DEVE essere caricata su keyserver.ubuntu.com)
  • il proprio username
  • la propria email
  • (tutto sulla stessa riga)

es: 434C907C05C680AAB541E1DD10EB8F2A41F146E7 teozoia matteo.zoia@unimi.it

cifrare il file usando gpg tramite cifratura simmetrica AES128 con passphrase ex2. Allegare il file con nome ex2-recupero.txt in un post che deve avere titolo ex2-recupero. Post e file con nomi diversi da quello indicato invalidano l'esercizio.


Stato Nome Deadline Esercizio
🕓 ex1 29/04/2024 11/06/2024 Creare account, update immagine profilo, avere almeno 3 amici, creare un post
🕓 ex2 10/05/2024 11/06/2024 Le istruzioni si trovano all'interno del gruppo di appartenenza oppure su MyAriel. Argomenti: web of trust, uso di GPG, creazione e scambio chiavi, cifratura e decifratura, forma digitale.
🕓 ex3 16/05/2024 11/06/2024 Creare un nuovo post con il proprio profilo che contenga nel titolo "ex3", tramite le API https://socialnetwork.laser.di.unimi.it/services/api/rest/json/?method=system.api.list) creare una ACL ad hoc per l'utente ex3_checker_user (guid: 802). Testo completo dell'esercizio su MyAriel.
🕓 ex4 30/05/2024 11/06/2024 Trovare la vulnerabilità web injection nella pagina indicata, generare l'exploit, testarlo e postare la soluzione.
Hint esercizio 3: attenzione, non è possibile inserire la parola "alert", è però possibile scrivere "eval"! Bypassare la slice(0,50)? Il payload è troppo corto? Possiamo inserire del testo extra nel URL e possiamo recuperarlo in qualche modo?
Hint esercizio 2: cosa succede se come payload inserisco un tag php nella pagina, cosa fa il browser e perchè?

🕓 consegna possibile
🔴 consegna chiusa