Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]

0c988f4618b436b14ce6ddcecd52d11d?s=47 DC7499
November 11, 2018

Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]

The talk revolves around the technical side of the implementation of the new event types introduced by Positive Technologies. We will decompose the infrastructure used for hackathons, CTFs, and other competitions, and look back at the past cybersecurity hackathon that took place in Nizhny Novgorod on October 12–13.

0c988f4618b436b14ce6ddcecd52d11d?s=128

DC7499

November 11, 2018
Tweet

Transcript

  1. 2.

    Обо мне • Sergey Sobko (@IwasakiRussia, github:profitware; bug2bug.me) • Руководитель

    группы разработки Positive Technologies Application Firewall (UI) • Преподаватель курса веб- разработки в НИУ ВШЭ
  2. 3.

    План • Зачем • Командная платформа • Облако и ресурсы

    • Хранилище кода • Уязвимости • Дальнейшие планы
  3. 4.

    Зачем • Исследовать уязвимости и сообщить о них разработчикам •

    Показать разработчикам, что нужно знать о существовании таких уязвимостей или хотя бы об Application Firewall (: • Выработать подходы к проведению и масштабированию таких мероприятий
  4. 5.

    Командная платформа • Сформировать команды (авторизация через GitHub) • Выбрать

    путь и задания • Видеть текущую активность команды • Использовать общее табло для духа соревнования
  5. 14.

    Хранилище кода • Приватные репозитарии GitHub? Очень дорого для мероприятия

    • Gitlab? Сложная регистрация • Gitlab со входом через GitHub!
  6. 16.

    Хранилище кода • Dockerfile со всем необходимым • docker-compose.yaml •

    Предзаполненные requirements • Простое веб-приложение для демонстрации
  7. 17.

    Уязвимости • Кто: команда пентестеров Positive Technologies • Хакатон (Нижний

    Новгород) – Flask: XSS, SSRF, Session hijacking • Хакатон (Нижний Новгород) – Django Admin: удаление чужих опросов (роли) • Командная платформа: захват чужой команды, XSS в sudo
  8. 27.

    Дальнейшие планы • Следующий хакатон Positive Technologies в Новосибирске в

    феврале • Частично открыть исходники командной платформы • Попробовать воплотить некоторые идеи в Противостоянии на PHDays 21-22 мая 2018