Im Dezember lädt OTUS mit Unterstützung von VolgaCTF und CTF.Moscow alle, die der Informationssicherheit nahe stehen, zu einem Online-Wettbewerb ein, um Schwachstellen zu finden. Erfahren Sie mehr und registrieren Sie sich hier . In der Zwischenzeit werden wir Ihnen mehr über das Format und die Teilnahme erzählen und uns auch daran erinnern, wie die Veranstaltung im Jahr 2019 verlaufen ist.
Format
Die Abkürzung CTF steht für Capture the Flag. Es gibt zwei Formate solcher Wettbewerbe:
- Angriffsabwehr , bei der Teams ihren Server oder ihr Netzwerk erhalten und deren Funktion sicherstellen müssen. Die Aufgabe besteht darin, so viele Punkte wie möglich für die Verteidigung oder gestohlene Informationen ("Flaggen") der gegnerischen Teams zu erzielen.
- Aufgabenbasiert , bei dem jeder Teilnehmer eine Reihe von Aufgaben erhält und innerhalb der vorgegebenen Zeit Lösungen senden muss. Die Antwort, auch bekannt als Flagge, kann ein Zeichensatz oder eine Phrase sein.
Unsere CTF-Wettbewerbe werden in einem aufgabenbasierten Format organisiert .
Wie war es letztes Jahr?
Im Jahr 2019 nahmen 217 Personen teil. Die Teilnehmer mussten 9 Aufgaben lösen, drei in jede Richtung: Reverse Engineering, Penetrationstests und Linux-Sicherheit. Die Fertigstellung dauerte 5 Stunden.
Die Aufgaben haben unterschiedliche Schwierigkeitsgrade und dementsprechend die Kosten in Punkten. Beim letzten Mal wurden nur 40% der gesendeten Antworten akzeptiert. Wir geben Beispiele für die Lösung der Aufgaben des letzten Jahres:
1. Reverse Engineering
Aufgaben zur Code-Dekompilierung, Wiederherstellung der Programmlogik unter Verwendung von ausschließlich Low-Level-Code, Untersuchung der Funktionsweise mobiler Anwendungen.
Beispiel für die Aufgabe
Name: Bin
Punkte: 200
Beschreibung:
Diesmal sind wir auf eine Binärdatei gestoßen. Die Aufgabe ist die gleiche, das geheime Passwort zu bekommen.
Anhang: Aufgabe
Lösung:
Gegeben eine Binärdatei. Laden Sie es in den Disassembler und sehen Sie sechs in C ++ geschriebene Testfunktionen.
Sie sind identisch und werden ineinander aufgerufen, wobei die Flagge in Teilen von 5 Elementen überprüft wird.
Wir stellen Schritt für Schritt anhand der Informationen aus dem Disassembler wieder her. Wir erhalten die Flagge in Teilen:
0) Überprüfen Sie die Länge
1) Flagge {
2) Gebührfa
3) _172a
4) k14sc
5) _eee}
Kombinieren Sie und erhalten Sie die Flagge:
Flagge {feefa_172ak14sc_eee}
2. Pentest
Die Teilnehmer suchen mithilfe von Penetrationstestmethoden nach Schwachstellen auf Websites.
Beispiel für eine Aufgabe
Name: Datenbanken
Punkte: 100
Beschreibung: Die Site verwendet aktiv Datenbanken. Versuchen Sie SQL Injection.
Link zur Site: 193.41.142.9 : 8001 / shop / login
Lösung:
Gehen Sie zum Hauptbereich des Geschäfts / shop / products / und stöbern Sie im Suchfeld. Dort finden Sie eine SQL-Injektion.
Geben Sie 1 "ODER" 1 "=" 1 "- ein, scrollen Sie nach unten und sehen Sie das zuvor fehlende Produkt. Das Flag befindet sich in seiner Beschreibung.
Flag: flag {5ql_1nject10n_15_t00_51mpl3_f0r_y0u}
3. Linux-Sicherheit + Entwicklungssicherheit
Die Aufgaben zielen darauf ab, die Richtigkeit der Serverkonfiguration zu überprüfen und Fehler in der Softwareentwicklung zu finden.
: Algo
: 50
: . safe development. . : 666c61677b32646733326473323334327d. .
.
: 193.41.142.9:8002/
: task.7z
:
. , , .
Python:
import binascii binascii.unhexlify ("666c61677b32646733326473323334327d")
Wir erhalten das Flag: flag {2dg32ds2342}
Hier sehen Sie alle Aufgaben von CTF-2019 .
Was wird dieses Jahr passieren?
Wir haben die 4. Disziplin "Webanwendungssicherheit" hinzugefügt. Für 6 Stunden müssen die Teilnehmer 12 Aufgaben lösen - 3 in jede Richtung.
Termine und Preise
Der Wettbewerb findet am 5. Dezember von 10 bis 16 Uhr statt. In jeder Kategorie: Reverse Engineering, Penetrationstests, Linux-Sicherheit und Sicherheit von Webanwendungen werden die Gewinner ermittelt.
Die Registrierung ist bis zum 4. Dezember bis 19.45 Uhr geöffnet.
Die Hauptpreise - kostenlose Schulungen in OTUS-Kursen zur Informationssicherheit - gehen an diejenigen, die als erste alle drei Probleme in einer der Kategorien richtig lösen. Wer den zweiten und dritten Platz belegt, erhält exklusive Ermäßigungen auf die Studiengebühren. Und natürlich erhalten alle Teilnehmer neues Wissen, Freude an der Lösung von Problemen und einen Bonus von 10%.
Am 8. und 10. Dezember veranstalten Organisatoren und Lehrer spezielle Webinare, in denen sie die Ergebnisse zusammenfassen, Problemlösungen analysieren und Ihnen mehr über unsere Kurse erzählen.
Wer kann am CTF-Wettbewerb teilnehmen?
Die Veranstaltung steht allen offen, die mehr oder weniger an Informationssicherheit interessiert sind.
Möchten Sie mehr wissen? Dann warten wir auf Sie beim Einführungswebinar am 3. Dezember um 20:00 Uhr, wo wir Sie über alle Bedingungen des Betriebs informieren und Ihre Fragen beantworten. Melden Sie sich an, damit Sie die Sendung nicht verpassen .