Can I ask what are the vulnerable parts to this application?† I see multiple SQL injection vulnerabilities in the admin/ section of the site, which I presume would need to be &quot;secure&quot;, given that it is the CTF scoring admin page and all...<br>

<br>For example:<br><br>admin/view.php:<br><br><br>11: $table = $_GET[&quot;table&quot;];<br>15: $connection = mysql_connect(&quot;localhost&quot;,&quot;root&quot;,&quot;vicnum&quot;);<br>19: $result = mysql_query (&quot;SELECT name,guess,count,tod FROM<br>

20: †††††††††††††††††††††††† $table where count &gt; 0 order by count,tod asc&quot;, $connection);<br>23: print &quot;&lt;H2&gt;Below please find all $cnt Vicnum players in table $table\n&lt;hr&gt;&quot; ;<br><br>Is this code for real?<br>

<br><br><div class="gmail_quote">On Thu, Oct 22, 2009 at 11:03 AM, Mordecai Kraushar <span dir="ltr">&lt;<a href="mailto:mordecai@ciphertechs.com">mordecai@ciphertechs.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

Hi<br>
<br>
Yes, similarities do exist and it is more game focused than training focused.<br>
<br>
It&#39;s much smaller than webgoat and written in php and perl. †I have a few suggestions in there to modify the game to make it harder or easier to play depending on the sophistication of the audience, for example do you show some revealing fields in plain text or do you base64 encode them? †Either way is disclosure but one is more stealthy.<br>


<br>
So the app is supposed to be flexible and modifiable to challenge the web assessment vendors, web auditors or just game players.<br>
<br>
<br>
See it at <a href="http://vicnum.ciphertechs.com" target="_blank">http://vicnum.ciphertechs.com</a><br>
<font color="#888888"><br>
Mordecai<br>
</font><div class="im"><br>
<br>
<br>
-----Original Message-----<br>
From: <a href="mailto:owasp-leaders-bounces@lists.owasp.org">owasp-leaders-bounces@lists.owasp.org</a> [mailto:<a href="mailto:owasp-leaders-bounces@lists.owasp.org">owasp-leaders-bounces@lists.owasp.org</a>] On Behalf Of Matt Tesauro<br>


Sent: Thursday, October 22, 2009 10:53 AM<br>
To: <a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a><br>
Subject: Re: [Owasp-leaders] OWASP Projects - Short update - OWASP Vicnum Project has a new release!<br>
<br>
</div><div><div></div><div class="h5">While they are both very similar, Vicnum is more geared at setting up a<br>
capture the flag and other web app sec &#39;games&#39; as opposed to be focused<br>
on teaching app sec. †Learning happens either way, just a different<br>
approach to get that done.<br>
<br>
-<br>
-- Matt Tesauro<br>
OWASP Live CD Project Lead<br>
<a href="http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project</a><br>
<a href="http://AppSecLive.org" target="_blank">http://AppSecLive.org</a> - Community and Download site<br>
<br>
<br>
On Thu, 2009-10-22 at 15:45 +0100, Eoin wrote:<br>
&gt; Whats the difference between this and webgoat?<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; 2009/10/22 Paulo Coimbra &lt;<a href="mailto:paulo.coimbra@owasp.org">paulo.coimbra@owasp.org</a>&gt;<br>
&gt; † † † † Leaders,<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; † † † † Iíve just updated OWASP Vicnum projectís details page with its<br>
&gt; † † † † latest release Ė version 1.3. Please glance at it<br>
&gt; † † † † <a href="http://www.owasp.org/index.php/Category:OWASP_Vicnum_Project" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Vicnum_Project</a><br>
&gt; † † † † and having feedback send it over!<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; † † † † Many thanks,<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; † † † † Paulo Coimbra,<br>
&gt;<br>
&gt; † † † † OWASP Project Manager<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; † † † † _______________________________________________<br>
&gt; † † † † OWASP-Leaders mailing list<br>
&gt; † † † † <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
&gt; † † † † <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; --<br>
&gt; Eoin Keary<br>
&gt;<br>
&gt; OWASP Code Review Guide Lead Author<br>
&gt; OWASP Ireland Chapter Lead<br>
&gt; OWASP Global Committee Member (Industry)<br>
&gt;<br>
&gt; <a href="http://asg.ie/" target="_blank">http://asg.ie/</a><br>
&gt; <a href="https://twitter.com/EoinKeary" target="_blank">https://twitter.com/EoinKeary</a><br>
&gt; _______________________________________________<br>
&gt; OWASP-Leaders mailing list<br>
&gt; <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</div></div></blockquote></div><br>