Идея заданий родилась в закрытых разделах, но похоже и в паблике есть к этому некоторый интерес.

Правила понятные, механизм отладили, можно пускать это дело на самотек.

Хотя остается проблема "первых двух ступенек", т.е. нужны простые задания, которые можно выполнить с начальными навыками на форуме.

А вот их приготовить замеетно сложнее, чем хардкорные, как ни странно.

На начальном этапе изюминки почти неразличимы на фоне общих трудностей самого процесса познания.

Прокачавшись, трудно заставить себя постить простенькие вещи, вроде как не твой уровень.

Пробую этот пробел заполнять, и вот очередная попытка:

посмотрите аттач к заданию, в нем html страничка, которая пытается получить флаг, правда неудачно.

Есть простые способы получить этот флаг, поэтому сам флаг не интересует и приниматься будут не все способы, а только некоторые.

А именно:

- нельзя использовать прокладки (дополнительные скрипты, сайты, прокси)

- решение должно уместиться в строке браузера

- вызов должен быть непосредственно на task.antichat.com:10013

- проверять решение буду в браузерах Firefox и Chrome

Задание:

Таргет: http://task.antichat.com:10013

Найти и прочитать флаг.

Ответы присылайте в ПМ форума, интересует не сам флаг, а прохождение.

Срок:

две недели.

Правила остаются прежними:

В теме не флудим, подсказки разрешены только от ТС.

Прошли:

ii445888

Baskin-Robbins- нашел три способа решить задание!

Hulkus - особенность в Firefox

Go0o$E

Прохождения:

/threads/482941/#post-4448252

Картинка про CORS - обыкновенная подсказка.

Задание предназначено в первую очередь для начинающих и указатель на CORS нужен для сокращения времени поиска направления решения.

Смотрим, там точно есть способ, которым решается задание, останется потыкать в реализацию.

ii445888на подходе, практически зарешал, осталось оформить правильно.

Ну и вот простой способ достать флаг,

эмулируем запрос, который делается в приаттаченном файле

Только этот результат нужно получить в браузере.

Baskin-Robbins нашел альтернативное решение, срабатывает в Firefox.

Baskin-Robbins нашел не просто решение таска, похоже он наковырял багу в Firefox.

И следующий хинт:

про адресную строку может быть не очень понятно, что решение должно уместиться в ней.

Просто вспомните, браузеры поддерживают не только http:// протокол, но и множество других, в некоторых будет удобно набрать решение.

А вот интересно, проверяет ли сервер заголовок "Content-Type: application/json"?

Смотрим:

Флаг отдается!

Упс, заголовок не проверяется и мы можем использовать способ отправить запрос, когда CORS игнорируется.

"Простой запрос" может быть сделан через , без каких-то специальных методов.

Но формы не предназначены для отправки json-запросов.

- заголовок "Content-Type: application/json" не разрешен

- данные передаются в другом формате.

Но с заголовками мы вроде разобрались.

А данные как передать в json-формате?

Или все-таки можно?

Наверное последнее, чем можно еще помочь:

если трудно набрать решение в адресной строке - приму html код, который выведет флаг на странице.

До закрытия таска осталось немного времени.

Тем, кто попал в таблицу решивших задание, просьба отписать в топике - законное право победителя, ну и просто для поднятия конуса .