Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]

DC7499
November 11, 2018
Research
0
340

Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]

The talk revolves around the technical side of the implementation of the new event types introduced by Positive Technologies. We will decompose the infrastructure used for hackathons, CTFs, and other competitions, and look back at the past cybersecurity hackathon that took place in Nizhny Novgorod on October 12–13.

DC7499

November 11, 2018
Tweet

More Decks by DC7499

See All by DC7499
Dmitry Sklyarov - Intel ME: Security keys Genealogy, Obfuscation and other Magic
defcon
0
200
Anton Lopanitsyn - Initial reconnaissance of web applications.
defcon
0
230
Dmitry Volkov - Private messengers: without pain??
defcon
1
210
Andrey Skuratov and Sergey Migalin - DNS tunneling in 2018. What is that, and what to do with it?
defcon
1
170
Sergey Belov - Another side of Bug Bounty programs
defcon
0
210
Dmitry Sklyarov - Intel ME: Flash file system explained
defcon
0
340
Maxim Goryachiy & Mark Ermolov - Inside Intel Management Engine
defcon
0
390
Sergey Golovanov - Indecent Response 2018
defcon
0
330
Kupreev Oleg & Putin Vladimir - Your very own driver for the custom NVMe device from the scratch: reading of the flash memory of iPhone 7
defcon
1
420

Other Decks in Research

See All in Research
20221219TXPMedical勉強会
tadook
1
380
NeurIPS2022_face_image_synthesis_series
reisato12345
2
460
[IR Reading 2022秋 論文紹介] Price DOES Matter!: Modeling Price and Interest Preferences in Session-based Recommendation (SIGIR 2022) /IR-Reading-2022-fall
koheishinden
3
120
第20回チャンピオンズミーティング・サジタリウス杯ラウンド2集計 / Umamusume Sagittarius 2022 Round2
kitachan_black
0
770
機械学習と機械発見:自然科学研究におけるデータ利活用の再考
itakigawa
4
1.9k
ウェブ・ソーシャルメディア論文読み会: How digital media drive affective polarization through partisan sorting
hkefka385
0
110
Synthetic Control Method(合成コントロール法)1
masakat0
1
520
第23回チャンピオンズミーティング・ピスケス杯ラウンド1集計 / Umamusume Aquarius 2023 Round1
kitachan_black
0
960
物理現象の性質を反映させたグラフニューラルネットワークによる偏微分方程式の学習
yellowshippo
2
770
【西多摩電波調査】調査報告書
5g_digitalservicetmg
0
520
NLPとVision-and-Languageの基礎・最新動向 (1) / DEIM Tutorial Part 1: NLP
kyoun
14
3.9k
正確な推薦は無条件に信頼できるか?
kuri8ive
3
690

Featured

See All Featured
Designing on Purpose - Digital PM Summit 2013
jponch
108
5.9k
The Cult of Friendly URLs
andyhume
70
5.2k
The World Runs on Bad Software
bkeepers
PRO
59
5.8k
Done Done
chrislema
178
15k
Designing with Data
zakiwarfel
91
4.3k
Facilitating Awesome Meetings
lara
34
4.7k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
11
1.4k
Music & Morning Musume
bryan
37
4.7k
Navigating Team Friction
lara
177
12k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
217
21k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
351
21k
jQuery: Nuts, Bolts and Bling
dougneiner
57
6.7k

Transcript

  1. Хакашоп:
    Хакатон + пентест + воркшоп

    View Slide

  2. Обо мне
    • Sergey Sobko (@IwasakiRussia,
    github:profitware; bug2bug.me)
    • Руководитель группы разработки
    Positive Technologies Application
    Firewall (UI)
    • Преподаватель курса веб-
    разработки в НИУ ВШЭ

    View Slide

  3. План
    • Зачем
    • Командная платформа
    • Облако и ресурсы
    • Хранилище кода
    • Уязвимости
    • Дальнейшие планы

    View Slide

  4. Зачем
    • Исследовать уязвимости и
    сообщить о них разработчикам
    • Показать разработчикам, что
    нужно знать о существовании
    таких уязвимостей или хотя бы об
    Application Firewall (:
    • Выработать подходы к
    проведению и масштабированию
    таких мероприятий

    View Slide

  5. Командная платформа
    • Сформировать команды
    (авторизация через GitHub)
    • Выбрать путь и задания
    • Видеть текущую активность
    команды
    • Использовать общее табло для
    духа соревнования

    View Slide

  6. Командная платформа

    View Slide

  7. Командная платформа

    View Slide

  8. Командная платформа

    View Slide

  9. Командная платформа

    View Slide

  10. Командная платформа

    View Slide

  11. Командная платформа

    View Slide

  12. Командная платформа
    Базируется на личном проекте для
    создания чеклистов:
    https://github.com/profitware/checklist
    (написано на Clojure)

    View Slide

  13. Облако и ресурсы
    • Kubernetes: Rancher
    • Redis, Minio, MySQL
    • Gitlab + Gitlab CI
    • Ansible Tower

    View Slide

  14. Хранилище кода
    • Приватные репозитарии GitHub?
    Очень дорого для мероприятия
    • Gitlab? Сложная регистрация
    • Gitlab со входом через GitHub!

    View Slide

  15. Хранилище кода
    Базовый шаблон для участников:
    https://github.com/hseling/hseling-api-template
    (пример Flask API)

    View Slide

  16. Хранилище кода
    • Dockerfile со всем необходимым
    • docker-compose.yaml
    • Предзаполненные requirements
    • Простое веб-приложение для
    демонстрации

    View Slide

  17. Уязвимости
    • Кто: команда пентестеров Positive
    Technologies
    • Хакатон (Нижний Новгород) –
    Flask: XSS, SSRF, Session hijacking
    • Хакатон (Нижний Новгород) –
    Django Admin: удаление чужих
    опросов (роли)
    • Командная платформа: захват
    чужой команды, XSS в sudo

    View Slide

  18. Уязвимости

    View Slide

  19. Уязвимости

    View Slide

  20. Уязвимости

    View Slide

  21. Уязвимости

    View Slide

  22. Уязвимости

    View Slide

  23. Уязвимости

    View Slide

  24. Уязвимости

    View Slide

  25. Уязвимости

    View Slide

  26. Уязвимости

    View Slide

  27. Дальнейшие планы
    • Следующий хакатон Positive
    Technologies в Новосибирске в
    феврале
    • Частично открыть исходники
    командной платформы
    • Попробовать воплотить некоторые
    идеи в Противостоянии на PHDays
    21-22 мая 2018

    View Slide

  28. Вопросы?
    Спасибо за внимание!
    ptsecurity.com
    @IwasakiRussia

    View Slide