
Em dezembro, a OTUS, com o apoio da VolgaCTF e CTF.Moscow, convida todos os que estão perto da segurança da informação para uma competição online para encontrar vulnerabilidades. Saiba mais e cadastre-se aqui . Enquanto isso, falaremos mais sobre o formato e a participação, além de lembrar como foi o evento em 2019.
Formato
A abreviatura CTF significa Capture the flag. Existem 2 formatos para tais competições:
- Ataque-defesa , onde as equipes obtêm seu servidor ou rede e devem garantir seu funcionamento. A tarefa é marcar tantos pontos quanto possível para defesa ou informações roubadas ("bandeiras") das equipes adversárias.
- Baseado em tarefas , onde cada participante recebe um conjunto de tarefas e deve enviar soluções dentro do prazo estipulado. A resposta, também conhecida como bandeira, pode ser um conjunto de caracteres ou uma frase.
Nossas competições CTF são organizadas em um formato baseado em tarefas .
Como foi ano passado
Em 2019, participaram 217 pessoas. Os participantes tiveram que resolver 9 tarefas, três em cada direção: engenharia reversa, teste de penetração e segurança Linux. Demorou 5 horas para ser concluído.
As tarefas possuem diferentes níveis de dificuldade e, consequentemente, o custo em pontos. Da última vez, apenas 40% das respostas enviadas foram aceitas. Damos exemplos de como resolver as tarefas do ano passado:
1. Engenharia reversa
Tarefas de descompilação de código, restauração da lógica do programa usando exclusivamente código de baixo nível, pesquisa de funcionamento de aplicativos móveis.
exemplo da tarefa
Nome: Bin
Points: 200
Descrição:
Desta vez, encontramos um arquivo binário. A tarefa é a mesma, obter a senha secreta.
Anexo: tarefa
Solução:
Dado um arquivo binário. Carregue-o no desmontador e veja seis funções de verificação escritas em C ++.
São feitos de forma idêntica e são chamados uns nos outros, conferindo a bandeira em pedaços de 5 elementos.
Restauramos passo a passo usando informações do desmontador. Recebemos o sinalizador em partes:
0) verifique o comprimento
1) sinalizador {
2) feefa
3) _172a
4) k14sc
5) _eee}
Combine e obtenha o sinalizador:
sinalizador {feefa_172ak14sc_eee}
2. Pentest
Os participantes procuram vulnerabilidades em sites usando métodos de teste de penetração.
exemplo de tarefa
Nome: Bancos de dados
Pontos: 100
Descrição: O site está usando bancos de dados ativamente. Experimente SQL Injection.
Link para o site: 193.41.142.9 : 8001 / shop / login
Solução:
Vá para a seção principal da loja / shop / products /, cutucando o campo de pesquisa, encontramos uma injeção de sql.
Insira 1 "OU" 1 "=" 1 "-, role para baixo e veja o produto ausente anteriormente, o sinalizador está em sua descrição.
Sinalizador: sinalizador {5ql_1nject10n_15_t00_51mpl3_f0r_y0u}
3. Segurança Linux + segurança de desenvolvimento
As tarefas têm como objetivo verificar a exatidão da configuração do servidor e encontrar erros no desenvolvimento de software.
: Algo
: 50
: . safe development. . : 666c61677b32646733326473323334327d. .
.
: 193.41.142.9:8002/
: task.7z
:
. , , .
Python:
import binascii binascii.unhexlify ("666c61677b32646733326473323334327d")
Recebemos o sinalizador: sinalizador {2dg32ds2342}
Você pode ver todas as tarefas do CTF-2019 aqui .
O que vai acontecer este ano?
Adicionamos a 4ª disciplina "Segurança de Aplicativos Web". Durante 6 horas, os participantes terão que resolver 12 tarefas - 3 em cada direção.
Datas e prêmios
A competição acontecerá no dia 5 de dezembro, das 10h às 16h. Em cada uma das categorias: engenharia reversa, teste de penetração, segurança Linux e segurança de aplicativos web, os vencedores são determinados.
As inscrições
vão até o dia 4 de dezembro às 19h45. Os principais prêmios - treinamento gratuito nos cursos OTUS em segurança da informação - vão para aqueles que forem os primeiros a resolver todos os 3 problemas corretamente em uma das categorias. Os segundo e terceiro colocados receberão descontos exclusivos nas mensalidades. E claro, todos os participantes receberão novos conhecimentos, prazer em solucionar problemas e um desconto de bônus de 10%.
Nos dias 8 e 10 de dezembro, os organizadores e professores realizarão webinars especiais, onde farão um resumo dos resultados, analisarão as soluções de problemas e também falarão mais sobre nossos cursos.
Quem pode participar da competição CTF?
O evento é aberto a todos os que têm mais ou menos interesse em segurança da informação.
Quer saber mais? Então, estamos esperando por você no webinar introdutório no dia 3 de dezembro às 20h, onde iremos informá-lo sobre todas as condições da holding e responderemos às suas perguntas. Inscreva-se para não perder a transmissão .