Hack de learning portal

Een groep van 4 leerlingen uit domein 2 heeft 13 november deelgenomen aan een het hackevent in Den Haag. Dit event werd georganiseerd door KED (Kunskapsskolan EDucation) de organisatie waarmee we samenwerken; concreet: de leverancier van de learning portal. KED heeft onze leerlingen, samen met de leerlingen van andere KED scholen, uitgedaagd om de beveiliging van de learning portal te onderzoeken. Onderstaand het verslag dat Rick Okkersen en Quinn de Veen van deze dag gemaakt hebben.

We zijn begonnen met een inleiding door Arie van Halem, de ontwikkelaar en beheerder van de learning portal. We moesten een quiz doen met rode en groene bekertjes. Hij had een paar stellingen. Een stelling was bijvoorbeeld “HTML is een programmeertaal”. Als je dacht dat dit waar was dan hield je het groene bekertje omhoog, zo niet het rode bekertje. (HTML is trouwens geen programmeertaal, maar dat ter zijde.) Daarna hebben we een korte inleiding in hacken gehad van een hacker op de hogeschool van Den Haag. Hierna hebben we een “Out of jail ticket” gekregen. Dit zorgt er letterlijk voor dat je out of jail blijft (ofwel, legaal mag hacken onder bepaalde voorwaarden). Wij mochten alleen op de site xxxx.kunskapsskolan.nl met gebruikersnaam xxxx en wachtwoord xxxx inloggen. (We hebben de werkelijke informatie met x vervangen omdat dit vertrouwelijk is!) Toen hebben we ongeveer 2 uur de tijd gehad om zelf te hacken. Uiteraard mochten we tussendoor altijd vragen stellen. Je had genoeg tijd om verschillende technieken toe te passen.

LET OP: we beschrijven hieronder een paar technieken die op de learning portal NIET werkten. Deze kunnen echter wel op andere sites werken. DON’T TRY THIS AT HOME!

Sommige groepen probeerden alleen in de portal zelf dingen uit. Bijvoorbeeld: wat gebeurt er als ik een gebruikersnaam van 500 tekens invoer? Of ze probeerden dingen als cross-site scripting. De meeste teams hebben ook dingen van buitenaf geprobeerd. Zo hebben wij SQL injectie en DDoS geprobeerd. Deze technieken maakten echter geen verschil. (De techniek die wel gewerkt heeft mogen wij niet vermelden voor dit is opgelost. Ook hebben we verschillende besturingssystemen gebruikt: Windows 10 Educational Edition, Linux Mint (speciaal voor hacken) en Ubuntu (een variant van Linux). We kwamen erachter dat we alle de drie systemen nodig hadden om succesvol te kunnen hacken. Als we dit niet deden, konden we niet de dingen doen die we nu wel konden. Dit was erg leerzaam.

Het was een lange reis maar zeker de moeite waard. Het was goed verzorgd en het was ook leuk om te doen. Een aandachtspunt voor de volgende keer zou kunnen zijn dat we iets meer zouden kunnen oefenen. We zouden dan zelf een website kunnen opzetten of de website hackthissite.org kunnen gebruiken. Als we meer voorbereiding hadden gehad, hadden we meer kunnen bereiken. In elk geval doen we volgend jaar weer mee.

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *