Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Sergey Sobko - Hackashop: Hackathon + Pentest +...

DC7499
November 11, 2018
Research
0
520

Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]

The talk revolves around the technical side of the implementation of the new event types introduced by Positive Technologies. We will decompose the infrastructure used for hackathons, CTFs, and other competitions, and look back at the past cybersecurity hackathon that took place in Nizhny Novgorod on October 12–13.

DC7499

November 11, 2018
Tweet

More Decks by DC7499

See All by DC7499
Dmitry Sklyarov - Intel ME: Security keys Genealogy, Obfuscation and other Magic
defcon
0
260
Anton Lopanitsyn - Initial reconnaissance of web applications.
defcon
0
280
Dmitry Volkov - Private messengers: without pain??
defcon
1
230
Andrey Skuratov and Sergey Migalin - DNS tunneling in 2018. What is that, and what to do with it?
defcon
2
210
Sergey Belov - Another side of Bug Bounty programs
defcon
0
300
Dmitry Sklyarov - Intel ME: Flash file system explained
defcon
0
490
Maxim Goryachiy & Mark Ermolov - Inside Intel Management Engine
defcon
0
550
Sergey Golovanov - Indecent Response 2018
defcon
0
490
Kupreev Oleg & Putin Vladimir - Your very own driver for the custom NVMe device from the scratch: reading of the flash memory of iPhone 7
defcon
1
580

Other Decks in Research

See All in Research
90 分で学ぶ P 対 NP 問題
e869120
14
6.1k
SpectralMamba: Efficient Mamba for Hyperspectral Image Classification
satai
3
290
国際会議ACL2024参加報告
chemical_tree
1
470
Security, Privacy, and Trust in Generative AI
tsubasashi
0
110
クラウドのテレメトリーシステム研究動向2025年
yuukit
3
820
ウッドスタックチャン:木材を用いた小型エージェントロボットの開発と印象評価 / ec75-sato
yumulab
1
150
請求書仕分け自動化での物体検知モデル活用 / Utilization of Object Detection Models in Automated Invoice Sorting
sansan_randd
0
160
言語モデルLUKEを経済の知識に特化させたモデル「UBKE-LUKE」について
petter0201
0
320
Mathematics in the Age of AI and the 4 Generation University
hachama
0
140
サーブレシーブ成功率は勝敗に影響するか?
vball_panda
0
610
NLP2025参加報告会 LT資料
hargon24
1
260
(NULLCON Goa 2025)Windows Keylogger Detection: Targeting Past and Present Keylogging Techniques
asuna_jp
1
340

Featured

See All Featured
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
Facilitating Awesome Meetings
lara
54
6.3k
Side Projects
sachag
452
42k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
49k
Being A Developer After 40
akosma
91
590k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
30
2k
A Modern Web Designer's Workflow
chriscoyier
693
190k
How to train your dragon (web standard)
notwaldorf
91
6k
Designing Experiences People Love
moore
141
24k
Large-scale JavaScript Application Architecture
addyosmani
512
110k
Site-Speed That Sticks
csswizardry
5
480
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
331
21k

Transcript

  1. Хакашоп: Хакатон + пентест + воркшоп

  2. Обо мне • Sergey Sobko (@IwasakiRussia, github:profitware; bug2bug.me) • Руководитель

    группы разработки Positive Technologies Application Firewall (UI) • Преподаватель курса веб- разработки в НИУ ВШЭ

  3. План • Зачем • Командная платформа • Облако и ресурсы

    • Хранилище кода • Уязвимости • Дальнейшие планы

  4. Зачем • Исследовать уязвимости и сообщить о них разработчикам •

    Показать разработчикам, что нужно знать о существовании таких уязвимостей или хотя бы об Application Firewall (: • Выработать подходы к проведению и масштабированию таких мероприятий

  5. Командная платформа • Сформировать команды (авторизация через GitHub) • Выбрать

    путь и задания • Видеть текущую активность команды • Использовать общее табло для духа соревнования

  6. Командная платформа

  7. Командная платформа

  8. Командная платформа

  9. Командная платформа

  10. Командная платформа

  11. Командная платформа

  12. Командная платформа Базируется на личном проекте для создания чеклистов: https://github.com/profitware/checklist

    (написано на Clojure)

  13. Облако и ресурсы • Kubernetes: Rancher • Redis, Minio, MySQL

    • Gitlab + Gitlab CI • Ansible Tower

  14. Хранилище кода • Приватные репозитарии GitHub? Очень дорого для мероприятия

    • Gitlab? Сложная регистрация • Gitlab со входом через GitHub!

  15. Хранилище кода Базовый шаблон для участников: https://github.com/hseling/hseling-api-template (пример Flask API)

  16. Хранилище кода • Dockerfile со всем необходимым • docker-compose.yaml •

    Предзаполненные requirements • Простое веб-приложение для демонстрации

  17. Уязвимости • Кто: команда пентестеров Positive Technologies • Хакатон (Нижний

    Новгород) – Flask: XSS, SSRF, Session hijacking • Хакатон (Нижний Новгород) – Django Admin: удаление чужих опросов (роли) • Командная платформа: захват чужой команды, XSS в sudo

  18. Уязвимости

  19. Уязвимости

  20. Уязвимости

  21. Уязвимости

  22. Уязвимости

  23. Уязвимости

  24. Уязвимости

  25. Уязвимости

  26. Уязвимости

  27. Дальнейшие планы • Следующий хакатон Positive Technologies в Новосибирске в

    феврале • Частично открыть исходники командной платформы • Попробовать воплотить некоторые идеи в Противостоянии на PHDays 21-22 мая 2018

  28. Вопросы? Спасибо за внимание! ptsecurity.com @IwasakiRussia