Se acaba de abrir el proceso de registro de participantes del II Reto de Hacking Web organizado por Instituto Seguridad Internet. Como la duración del reto está limitada a un mes, los usuarios podrán registrarse con antelación con el fin de que cuando dé comienzo todos estén en igualdad de condiciones.


El objetivo de este nuevo reto consistente en explotar vulnerabilidades en una tienda electrónica. Esta tienda soporta las funciones de compra habituales: búsqueda de productos, adición de productos al carrito de la compra, pago de la compra, autenticación de clientes de la tienda, administración de los datos personales, etc. A la vista del éxito alcanzado en el reto anterior y con el fin de facilitar la participación a concursantes de otras lenguas, los contenidos de la tienda se presentan en inglés o castellano, de forma automática en función del idioma del navegador. Esta tienda se encuentra en un servidor completamente separado de Boinas Negras, con su propio nombre de dominio, el cual será hecho público el día de comienzo del reto.

Por otro lado, el servidor de Boinas Negras sirve para el registro de participantes, administración del número de pruebas que ha superado cada uno y recepción y evaluación de las respuestas a cada una de las pruebas. Como queda dicho, está completamente separado del servidor de la tienda electrónica.

Las pruebas del reto pueden superarse en cualquier orden e independientemente unas de otras. En cuanto un participante crea haber superado una prueba, debe conectarse al servidor de Boinas Negras e introducir la respuesta a la prueba concreta. Si la respuesta es correcta, el servidor Boinas Negras contabilizará la prueba como superada. El primer participante que haya superado con éxito todas las pruebas será considerado ganador del reto. La duración del reto será exactamente de un mes, a cuyo término se eliminará la tienda.

En todos los casos existe algún error deliberado en la aplicación web que permite superar la prueba. Por lo tanto, para superar estas pruebas no se deben buscar agujeros de seguridad en la plataforma del servidor web, sino en la aplicación web de comercio electrónico.

Tanto para participar como para optar a los premios es necesario observar las siguientes reglas:

Todos los participantes deben registrarse previamente en el servidor de Boinas Negras. Se ha habilitado una página al efecto donde podrá registrarse de forma totalmente gratuita todo el mundo que lo desee.
Todas las pruebas pueden resolverse utilizando el ingenio y el conocimiento, sin recurrir a la fuerza bruta ni a ataques contra la plataforma del servidor web de la tienda. Se descalificará automáticamente a todo aquel que utilice ataques de fuerza bruta y de diccionario contra el servidor de la tienda electrónica.
La respuesta a cada prueba irá acompañada de una breve descripción de cómo se ha realizado el ataque, con el nivel de detalle suficiente como para que pueda ser reproducido por cualquier otra persona.
No se causará ningún daño al servidor de la tienda electrónica.
Cualquier intento de ataque contra el servidor de Boinas Negras o intento de introducir respuestas por fuerza bruta o prueba y error supondrá la descalificación inmediata.
La participación en el reto supone la aceptación de todas las condiciones anteriores.
La fecha de inicio del reto coincide con la festividad de San Pedro Mártir Sans. A las 00.00 de dicho día, se hará pública la dirección de la tienda de comercio y se activarán las páginas de evaluación de respuestas. Por supuesto, una vez iniciado el reto, continuará abierto el proceso de registro de nuevos participantes rezagados.