$30 off During Our Annual Pro Sale. View Details »

Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]

DC7499
November 11, 2018

Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]

The talk revolves around the technical side of the implementation of the new event types introduced by Positive Technologies. We will decompose the infrastructure used for hackathons, CTFs, and other competitions, and look back at the past cybersecurity hackathon that took place in Nizhny Novgorod on October 12–13.

DC7499

November 11, 2018
Tweet

More Decks by DC7499

Other Decks in Research

Transcript

  1. Хакашоп:
    Хакатон + пентест + воркшоп

    View Slide

  2. Обо мне
    • Sergey Sobko (@IwasakiRussia,
    github:profitware; bug2bug.me)
    • Руководитель группы разработки
    Positive Technologies Application
    Firewall (UI)
    • Преподаватель курса веб-
    разработки в НИУ ВШЭ

    View Slide

  3. План
    • Зачем
    • Командная платформа
    • Облако и ресурсы
    • Хранилище кода
    • Уязвимости
    • Дальнейшие планы

    View Slide

  4. Зачем
    • Исследовать уязвимости и
    сообщить о них разработчикам
    • Показать разработчикам, что
    нужно знать о существовании
    таких уязвимостей или хотя бы об
    Application Firewall (:
    • Выработать подходы к
    проведению и масштабированию
    таких мероприятий

    View Slide

  5. Командная платформа
    • Сформировать команды
    (авторизация через GitHub)
    • Выбрать путь и задания
    • Видеть текущую активность
    команды
    • Использовать общее табло для
    духа соревнования

    View Slide

  6. Командная платформа

    View Slide

  7. Командная платформа

    View Slide

  8. Командная платформа

    View Slide

  9. Командная платформа

    View Slide

  10. Командная платформа

    View Slide

  11. Командная платформа

    View Slide

  12. Командная платформа
    Базируется на личном проекте для
    создания чеклистов:
    https://github.com/profitware/checklist
    (написано на Clojure)

    View Slide

  13. Облако и ресурсы
    • Kubernetes: Rancher
    • Redis, Minio, MySQL
    • Gitlab + Gitlab CI
    • Ansible Tower

    View Slide

  14. Хранилище кода
    • Приватные репозитарии GitHub?
    Очень дорого для мероприятия
    • Gitlab? Сложная регистрация
    • Gitlab со входом через GitHub!

    View Slide

  15. Хранилище кода
    Базовый шаблон для участников:
    https://github.com/hseling/hseling-api-template
    (пример Flask API)

    View Slide

  16. Хранилище кода
    • Dockerfile со всем необходимым
    • docker-compose.yaml
    • Предзаполненные requirements
    • Простое веб-приложение для
    демонстрации

    View Slide

  17. Уязвимости
    • Кто: команда пентестеров Positive
    Technologies
    • Хакатон (Нижний Новгород) –
    Flask: XSS, SSRF, Session hijacking
    • Хакатон (Нижний Новгород) –
    Django Admin: удаление чужих
    опросов (роли)
    • Командная платформа: захват
    чужой команды, XSS в sudo

    View Slide

  18. Уязвимости

    View Slide

  19. Уязвимости

    View Slide

  20. Уязвимости

    View Slide

  21. Уязвимости

    View Slide

  22. Уязвимости

    View Slide

  23. Уязвимости

    View Slide

  24. Уязвимости

    View Slide

  25. Уязвимости

    View Slide

  26. Уязвимости

    View Slide

  27. Дальнейшие планы
    • Следующий хакатон Positive
    Technologies в Новосибирске в
    феврале
    • Частично открыть исходники
    командной платформы
    • Попробовать воплотить некоторые
    идеи в Противостоянии на PHDays
    21-22 мая 2018

    View Slide

  28. Вопросы?
    Спасибо за внимание!
    ptsecurity.com
    @IwasakiRussia

    View Slide