En effet, le script php derrière le challenge n'établit aucune connexion vers l'extérieur (ce serait d'ailleurs une grosse vulnérabilité si c'était le cas)
Ah bon et pourquoi ? Si la faille est simulée il n'y a aucun problème comme pour toutes les épreuves de hacking.
Tout simplement parce qu'il serait alors possible d'envoyer quasiment n'importe quelle requête (y compris des requêtes malveillantes) vers n'importe quel site. Et dans les logs du serveur "victime", il y'aurait l'IP de NC. Ce serait un peu ballot, non ?