Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Sergey Sobko - Hackashop: Hackathon + Pentest +...

DC7499
November 11, 2018
Research
0
480

Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]

The talk revolves around the technical side of the implementation of the new event types introduced by Positive Technologies. We will decompose the infrastructure used for hackathons, CTFs, and other competitions, and look back at the past cybersecurity hackathon that took place in Nizhny Novgorod on October 12–13.

DC7499

November 11, 2018
Tweet

More Decks by DC7499

See All by DC7499
Dmitry Sklyarov - Intel ME: Security keys Genealogy, Obfuscation and other Magic
defcon
0
240
Anton Lopanitsyn - Initial reconnaissance of web applications.
defcon
0
270
Dmitry Volkov - Private messengers: without pain??
defcon
1
220
Andrey Skuratov and Sergey Migalin - DNS tunneling in 2018. What is that, and what to do with it?
defcon
1
190
Sergey Belov - Another side of Bug Bounty programs
defcon
0
280
Dmitry Sklyarov - Intel ME: Flash file system explained
defcon
0
450
Maxim Goryachiy & Mark Ermolov - Inside Intel Management Engine
defcon
0
510
Sergey Golovanov - Indecent Response 2018
defcon
0
430
Kupreev Oleg & Putin Vladimir - Your very own driver for the custom NVMe device from the scratch: reading of the flash memory of iPhone 7
defcon
1
530

Other Decks in Research

See All in Research
Global Evidence Summit (GES) 参加報告
daimoriwaki
0
150
Weekly AI Agents News! 10月号 プロダクト/ニュースのアーカイブ
masatoto
1
110
Weekly AI Agents News! 8月号 論文のアーカイブ
masatoto
1
180
クラウドソーシングによる学習データ作成と品質管理(セキュリティキャンプ2024全国大会D2講義資料)
takumi1001
0
280
SNLP2024:Planning Like Human: A Dual-process Framework for Dialogue Planning
yukizenimoto
1
330
20240918 交通くまもとーく 未来の鉄道網編(こねくま)
trafficbrain
0
230
Isotropy, Clusters, and Classifiers
hpprc
3
630
文書画像のデータ化における VLM活用 / Use of VLM in document image data conversion
sansan_randd
2
190
さんかくのテスト.pdf
sankaku0724
0
340
論文紹介/Expectations over Unspoken Alternatives Predict Pragmatic Inferences
chemical_tree
1
260
文献紹介:A Multidimensional Framework for Evaluating Lexical Semantic Change with Social Science Applications
a1da4
1
220
ニュースメディアにおける事前学習済みモデルの可能性と課題 / IBIS2024
upura
3
510

Featured

See All Featured
Ruby is Unlike a Banana
tanoku
97
11k
Code Review Best Practice
trishagee
64
17k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Automating Front-end Workflow
addyosmani
1366
200k
VelocityConf: Rendering Performance Case Studies
addyosmani
325
24k
Navigating Team Friction
lara
183
14k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
Scaling GitHub
holman
458
140k
Visualization
eitanlees
145
15k
4 Signs Your Business is Dying
shpigford
180
21k
Making Projects Easy
brettharned
115
5.9k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.5k

Transcript

  1. Хакашоп: Хакатон + пентест + воркшоп

  2. Обо мне • Sergey Sobko (@IwasakiRussia, github:profitware; bug2bug.me) • Руководитель

    группы разработки Positive Technologies Application Firewall (UI) • Преподаватель курса веб- разработки в НИУ ВШЭ

  3. План • Зачем • Командная платформа • Облако и ресурсы

    • Хранилище кода • Уязвимости • Дальнейшие планы

  4. Зачем • Исследовать уязвимости и сообщить о них разработчикам •

    Показать разработчикам, что нужно знать о существовании таких уязвимостей или хотя бы об Application Firewall (: • Выработать подходы к проведению и масштабированию таких мероприятий

  5. Командная платформа • Сформировать команды (авторизация через GitHub) • Выбрать

    путь и задания • Видеть текущую активность команды • Использовать общее табло для духа соревнования

  6. Командная платформа

  7. Командная платформа

  8. Командная платформа

  9. Командная платформа

  10. Командная платформа

  11. Командная платформа

  12. Командная платформа Базируется на личном проекте для создания чеклистов: https://github.com/profitware/checklist

    (написано на Clojure)

  13. Облако и ресурсы • Kubernetes: Rancher • Redis, Minio, MySQL

    • Gitlab + Gitlab CI • Ansible Tower

  14. Хранилище кода • Приватные репозитарии GitHub? Очень дорого для мероприятия

    • Gitlab? Сложная регистрация • Gitlab со входом через GitHub!

  15. Хранилище кода Базовый шаблон для участников: https://github.com/hseling/hseling-api-template (пример Flask API)

  16. Хранилище кода • Dockerfile со всем необходимым • docker-compose.yaml •

    Предзаполненные requirements • Простое веб-приложение для демонстрации

  17. Уязвимости • Кто: команда пентестеров Positive Technologies • Хакатон (Нижний

    Новгород) – Flask: XSS, SSRF, Session hijacking • Хакатон (Нижний Новгород) – Django Admin: удаление чужих опросов (роли) • Командная платформа: захват чужой команды, XSS в sudo

  18. Уязвимости

  19. Уязвимости

  20. Уязвимости

  21. Уязвимости

  22. Уязвимости

  23. Уязвимости

  24. Уязвимости

  25. Уязвимости

  26. Уязвимости

  27. Дальнейшие планы • Следующий хакатон Positive Technologies в Новосибирске в

    феврале • Частично открыть исходники командной платформы • Попробовать воплотить некоторые идеи в Противостоянии на PHDays 21-22 мая 2018

  28. Вопросы? Спасибо за внимание! ptsecurity.com @IwasakiRussia