Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]

DC7499
November 11, 2018
Research
0
430

Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]

The talk revolves around the technical side of the implementation of the new event types introduced by Positive Technologies. We will decompose the infrastructure used for hackathons, CTFs, and other competitions, and look back at the past cybersecurity hackathon that took place in Nizhny Novgorod on October 12–13.

DC7499

November 11, 2018
Tweet

More Decks by DC7499

See All by DC7499
Dmitry Sklyarov - Intel ME: Security keys Genealogy, Obfuscation and other Magic
defcon
0
220
Anton Lopanitsyn - Initial reconnaissance of web applications.
defcon
0
260
Dmitry Volkov - Private messengers: without pain??
defcon
1
210
Andrey Skuratov and Sergey Migalin - DNS tunneling in 2018. What is that, and what to do with it?
defcon
1
190
Sergey Belov - Another side of Bug Bounty programs
defcon
0
240
Dmitry Sklyarov - Intel ME: Flash file system explained
defcon
0
400
Maxim Goryachiy & Mark Ermolov - Inside Intel Management Engine
defcon
0
460
Sergey Golovanov - Indecent Response 2018
defcon
0
370
Kupreev Oleg & Putin Vladimir - Your very own driver for the custom NVMe device from the scratch: reading of the flash memory of iPhone 7
defcon
1
480

Other Decks in Research

See All in Research
Generative Spoken Dialogue Language Modeling [対話論文読み会@電通大]
yuta0306
1
130
Bridging Continuous and Discrete Spaces: Interpretable Sentence Representation Learning via Compositional Operations
rudorudo11
0
160
Gmail の「メール送信者のガイドライン」強化から 1 ヵ月、今後予想されるメールセキュリティの変化とは
hirachan
1
240
[KDD2023論文読み会] BERT4CTR: An Efficient Framework to Combine Pre-trained Language Model with Non-textual Features for CTR Prediction / KDD2023 LY Tech Reading
shunk031
0
440
第4回ナレッジグラフ勉強会:ISWC2023論文読み会
kg_wakate
1
210
MLtraq: Track your AI experiments at hyperspeed
micheda
1
110
AIを前提とした体験の実現に向けて/toward_ai_based_experiences
monochromegane
1
240
Evolutionary Optimization of Model Merging Recipes (2024/04/17, NLPコロキウム)
iwiwi
9
3k
20240209 データを肴に熊本の交通を考える会「車1割削減、渋滞半減、公共交通2倍」をめざし世界に学ぼう
trafficbrain
0
830
FMP L3 Year 1 Project Proposal
haiinya
0
150
10-ot-generic-bio.pdf
gpeyre
0
140
株式会社リクルートホールディングス 企業分析
frandle256
0
130

Featured

See All Featured
Bootstrapping a Software Product
garrettdimon
PRO
302
110k
Principles of Awesome APIs and How to Build Them.
keavy
121
16k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
659
120k
10 Git Anti Patterns You Should be Aware of
lemiorhan
648
58k
How STYLIGHT went responsive
nonsquared
92
4.8k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
357
22k
Docker and Python
trallard
34
2.7k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
125
32k
Six Lessons from altMBA
skipperchong
21
3k
Building Your Own Lightsaber
phodgson
99
5.7k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
322
20k
Designing for humans not robots
tammielis
248
25k

Transcript

  1. Хакашоп: Хакатон + пентест + воркшоп

  2. Обо мне • Sergey Sobko (@IwasakiRussia, github:profitware; bug2bug.me) • Руководитель

    группы разработки Positive Technologies Application Firewall (UI) • Преподаватель курса веб- разработки в НИУ ВШЭ

  3. План • Зачем • Командная платформа • Облако и ресурсы

    • Хранилище кода • Уязвимости • Дальнейшие планы

  4. Зачем • Исследовать уязвимости и сообщить о них разработчикам •

    Показать разработчикам, что нужно знать о существовании таких уязвимостей или хотя бы об Application Firewall (: • Выработать подходы к проведению и масштабированию таких мероприятий

  5. Командная платформа • Сформировать команды (авторизация через GitHub) • Выбрать

    путь и задания • Видеть текущую активность команды • Использовать общее табло для духа соревнования

  6. Командная платформа

  7. Командная платформа

  8. Командная платформа

  9. Командная платформа

  10. Командная платформа

  11. Командная платформа

  12. Командная платформа Базируется на личном проекте для создания чеклистов: https://github.com/profitware/checklist

    (написано на Clojure)

  13. Облако и ресурсы • Kubernetes: Rancher • Redis, Minio, MySQL

    • Gitlab + Gitlab CI • Ansible Tower

  14. Хранилище кода • Приватные репозитарии GitHub? Очень дорого для мероприятия

    • Gitlab? Сложная регистрация • Gitlab со входом через GitHub!

  15. Хранилище кода Базовый шаблон для участников: https://github.com/hseling/hseling-api-template (пример Flask API)

  16. Хранилище кода • Dockerfile со всем необходимым • docker-compose.yaml •

    Предзаполненные requirements • Простое веб-приложение для демонстрации

  17. Уязвимости • Кто: команда пентестеров Positive Technologies • Хакатон (Нижний

    Новгород) – Flask: XSS, SSRF, Session hijacking • Хакатон (Нижний Новгород) – Django Admin: удаление чужих опросов (роли) • Командная платформа: захват чужой команды, XSS в sudo

  18. Уязвимости

  19. Уязвимости

  20. Уязвимости

  21. Уязвимости

  22. Уязвимости

  23. Уязвимости

  24. Уязвимости

  25. Уязвимости

  26. Уязвимости

  27. Дальнейшие планы • Следующий хакатон Positive Technologies в Новосибирске в

    феврале • Частично открыть исходники командной платформы • Попробовать воплотить некоторые идеи в Противостоянии на PHDays 21-22 мая 2018

  28. Вопросы? Спасибо за внимание! ptsecurity.com @IwasakiRussia