Идея написать эту статью, даже не статью, а заметку, у меня появилась после прохождения кветса от Античата(ну почти прошел =) ).
Для чего делается квесты? Для развлечения? Для обучения? Для этих и еще сотен причин, но давайте взглянем на квест от Античата, вроде обычный квест : с обычными уровнями, но к уровням дается очень мало информации.
Ведь я не пророк чтоб, например, узнать что 6330306B – это строка в хексе.
В описании к уровню не дается описание уязвимости, так что человек даже не знает в каком направлении копать..
Ладно, еще первые уровни, там все понятно и доступно, но потом(!) потом идет что-то не понятное.
Когда мне пишут, что нужно авторизироваца, а на самом деле там совершенно другая уязвимость. Вы хотя бы пишите, что надо сделать, а то сиди и думай “где же тут баг”. Посмотрите на новый квест от GHC, там даже если тебе и не понятно что-либо, ты можешь получить подсказку. В описании к уровню дается довольно полное описание того, что надо сделать, а дальше уж сам.
Я согласен, что если человек, который знает как правильно реализовать багу, сможет пройти уровень за минуты. Так оно и было, когда я проходил Античат. На тех уровнях, которые я встречал ранее в других квестах, или там где теоретически знал что делать, я без проблем проходил уровень за пару минут. Но возьмем уровни, где человек совершенно не знает что ему надо делать. В подсказке к уровню, ему написали, что надо авторизироваца, он и будет копать в этом направлении, а в итоге оказывается, что там надо было найти внешний файл, в котором лежит адрес следующего уровня. И в где логика господа? Да, я знал ответы ко многим уровням, все таки опыт =), но даже я не смог закончить квест, так как в последнем уровни, нету и намека на логику. Все делается на чистых догадках.
Ну, вроде выговорился. Значит заключение:
1) Давайте побольше информации об уровне.
2) Не надо делать так, что в задании написано одно, а надо сделать совершенно другое, это отбивает интерес.
3) Старайтесь делать более правдоподобные уровни с SQL-inj и инклудами, ведь когда вы используете шаблонный вариант, то даже разница в регистре символов может привести к ошибке.
4) Старайтесь избегать уровней с Javascript, они проходятся за 2 мин, не зависимо от сложности(ведь мы видим исходники, а для человека хоть немного знакомого с языком на котором написан исходник, не составит труда решить его.)
5) Помните, что уровни должны быть интересные, и обучающие.
Ну вот вроде и все… Кто не согласен, пишите на мыло tester180[at]mail.ru иди в аську 9089022 (с) s0sk4