Recruiting 2.0

In Formazione, Vita aziendale
Ci piace condividere un’esperienza/esperimento che abbiamo lanciato qualche settimana fa attraverso Facebook, precisamente da questa nota. Dovendo cercare un nuovo web developer abbiamo deciso, invece di pubblicare il solito annuncio, di ispirarci alla Facebook Hacker Cup e utilizzare qualcosa di più creativo per coinvolgere le persone potenzialmente interessate. Abbiamo quindi realizzato un gioco che si componeva di tre livelli, ognuno dei quali richiedeva competenze specifiche e crescenti per passare al livello successivo. Ogni livello consisteva in un form di log-in attraverso il quale inserire una username e una password necessarie per accedere al livello successivo. Il giocatore, non conoscendo le credenziali necessarie a superare il livello, doveva affidarsi alle proprie competenze tecniche per scovare delle vulnerabilità create appositamente e sfruttarle per accedere al livello successivo. Nel primo livello era necessaria una conoscenza di base dell’html e di javascript per capire il funzionamento del form e quindi trovare la username e password all’interno del codice della pagina. La username e la password erano inserite in chiaro nel codice all’interno di una condizione che se verificata permetteva l’accesso al secondo livello. Dei tre, era il livello più semplice ed è stato superato della metà dei giocatori. Nel secondo livello era necessaria una conoscenza di base del funzionamento di Adobe Flash e di Action Script. La username e la password venivano passate tramite FlashVars all’interno dell’swf che conteneva il form e l’Action Script che verificava se le credenziali usate nel form, corrispondevano a quelle inviate tramite FlashVars. Circa il 40% dei giocatori ha superato questo livello. Nel terzo livello era necessaria una conoscenza di base del PHP e di SQL. La username e la password questa volta a differenza dei livelli precedenti non era nascosta nel codice, per cui bisognava superare il livello senza usare le credenziali necessarie. In questo livello era stata creata una vulnerabilità che permetteva iniezioni di SQL tramite il form, bastava quindi inserire una forma tautologica tale da invalidare la verifica delle credenziali ed il codice necessario a modificare la query SQL. Solo il 25% dei giocatori ha superato questo livello, accedendo quindi al form tramite il quale era possibile inviare il proprio curriculum. Il risultato finale del gioco è andato anche al di là delle nostre aspettative. Oltre a ricevere da chi ha partecipato diverse mail con i complimenti per l'idea (fa sempre piacere...) abbiamo registrato circa 400 tentativi da parte degli oltre 200 giocatori, in prevalenza uomini (78%) fra i 18 e i 34 anni (61%) provenienti soprattutto da Roma e Milano (50%), numeri che hanno portato all’invio di 20 curriculum fra i quali potrebbe esserci anche quello del nostro nuovo web developer, dopo i colloqui che inizieranno oggi. Chi sarà il Chris Putnam di Estrogeni?

Share and Enjoy