$30 off During Our Annual Pro Sale. View Details »

Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]

DC7499
November 11, 2018
Research
0
400

Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]

The talk revolves around the technical side of the implementation of the new event types introduced by Positive Technologies. We will decompose the infrastructure used for hackathons, CTFs, and other competitions, and look back at the past cybersecurity hackathon that took place in Nizhny Novgorod on October 12–13.

DC7499

November 11, 2018
Tweet

More Decks by DC7499

See All by DC7499
Dmitry Sklyarov - Intel ME: Security keys Genealogy, Obfuscation and other Magic
defcon
0
210
Anton Lopanitsyn - Initial reconnaissance of web applications.
defcon
0
240
Dmitry Volkov - Private messengers: without pain??
defcon
1
210
Andrey Skuratov and Sergey Migalin - DNS tunneling in 2018. What is that, and what to do with it?
defcon
1
180
Sergey Belov - Another side of Bug Bounty programs
defcon
0
230
Dmitry Sklyarov - Intel ME: Flash file system explained
defcon
0
380
Maxim Goryachiy & Mark Ermolov - Inside Intel Management Engine
defcon
0
430
Sergey Golovanov - Indecent Response 2018
defcon
0
340
Kupreev Oleg & Putin Vladimir - Your very own driver for the custom NVMe device from the scratch: reading of the flash memory of iPhone 7
defcon
1
450

Other Decks in Research

See All in Research
大規模言語モデル
chokkan
PRO
40
13k
[CVPR 2023 論文紹介] Unifying Vision, Text, and Layout for Universal Document Processing / kanto-cv-59-udop
shimacos
3
540
論文紹介 Quantifying attention via dwell time and engagement in a social media browsing environment / web-socialmedia-study-8th
upura
0
100
New algorithms for collaborative text editing
ept
0
290
Turingと自動運転とLLM- LLM-jp 勉強会
inoichan
2
1.4k
第59回名古屋CV・PRMU勉強会:ICCV2023論文紹介(自己教師あり学習)
naok615
0
200
未満児保育・保育士確保
yowata
0
100
音声感情認識技術の最前線
atsushi_ando
3
910
【論文紹介】gSASRec_Reducing Overconfidence in Sequential Recommendation Trained with Negative Sampling / recsys2023-gsasrec
yuya4
0
310
Open Source Software Resilience and Epistemic Analysis
apostoloskritikos
0
130
レガシーなサービス・組織でリサーチの土壌を耕す
uepon73
3
1.1k
IRではデータ収集がどのように実施・認識されてきたのか
gmoriki
0
170

Featured

See All Featured
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
130
9.8k
In The Pink: A Labor of Love
frogandcode
135
21k
WebSockets: Embracing the real-time Web
robhawkes
58
6.6k
Robots, Beer and Maslow
schacon
154
7.7k
Fireside Chat
paigeccino
18
2.3k
The Mythical Team-Month
searls
214
41k
Code Reviewing Like a Champion
maltzj
511
38k
Mobile First: as difficult as doing things right
swwweet
214
8.3k
How to Ace a Technical Interview
jacobian
272
22k
What the flash - Photography Introduction
edds
64
11k
GraphQLとの向き合い方2022年版
quramy
26
12k
Infographics Made Easy
chrislema
236
17k

Transcript

  1. Хакашоп:
    Хакатон + пентест + воркшоп

    View Slide

  2. Обо мне
    • Sergey Sobko (@IwasakiRussia,
    github:profitware; bug2bug.me)
    • Руководитель группы разработки
    Positive Technologies Application
    Firewall (UI)
    • Преподаватель курса веб-
    разработки в НИУ ВШЭ

    View Slide

  3. План
    • Зачем
    • Командная платформа
    • Облако и ресурсы
    • Хранилище кода
    • Уязвимости
    • Дальнейшие планы

    View Slide

  4. Зачем
    • Исследовать уязвимости и
    сообщить о них разработчикам
    • Показать разработчикам, что
    нужно знать о существовании
    таких уязвимостей или хотя бы об
    Application Firewall (:
    • Выработать подходы к
    проведению и масштабированию
    таких мероприятий

    View Slide

  5. Командная платформа
    • Сформировать команды
    (авторизация через GitHub)
    • Выбрать путь и задания
    • Видеть текущую активность
    команды
    • Использовать общее табло для
    духа соревнования

    View Slide

  6. Командная платформа

    View Slide

  7. Командная платформа

    View Slide

  8. Командная платформа

    View Slide

  9. Командная платформа

    View Slide

  10. Командная платформа

    View Slide

  11. Командная платформа

    View Slide

  12. Командная платформа
    Базируется на личном проекте для
    создания чеклистов:
    https://github.com/profitware/checklist
    (написано на Clojure)

    View Slide

  13. Облако и ресурсы
    • Kubernetes: Rancher
    • Redis, Minio, MySQL
    • Gitlab + Gitlab CI
    • Ansible Tower

    View Slide

  14. Хранилище кода
    • Приватные репозитарии GitHub?
    Очень дорого для мероприятия
    • Gitlab? Сложная регистрация
    • Gitlab со входом через GitHub!

    View Slide

  15. Хранилище кода
    Базовый шаблон для участников:
    https://github.com/hseling/hseling-api-template
    (пример Flask API)

    View Slide

  16. Хранилище кода
    • Dockerfile со всем необходимым
    • docker-compose.yaml
    • Предзаполненные requirements
    • Простое веб-приложение для
    демонстрации

    View Slide

  17. Уязвимости
    • Кто: команда пентестеров Positive
    Technologies
    • Хакатон (Нижний Новгород) –
    Flask: XSS, SSRF, Session hijacking
    • Хакатон (Нижний Новгород) –
    Django Admin: удаление чужих
    опросов (роли)
    • Командная платформа: захват
    чужой команды, XSS в sudo

    View Slide

  18. Уязвимости

    View Slide

  19. Уязвимости

    View Slide

  20. Уязвимости

    View Slide

  21. Уязвимости

    View Slide

  22. Уязвимости

    View Slide

  23. Уязвимости

    View Slide

  24. Уязвимости

    View Slide

  25. Уязвимости

    View Slide

  26. Уязвимости

    View Slide

  27. Дальнейшие планы
    • Следующий хакатон Positive
    Technologies в Новосибирске в
    феврале
    • Частично открыть исходники
    командной платформы
    • Попробовать воплотить некоторые
    идеи в Противостоянии на PHDays
    21-22 мая 2018

    View Slide

  28. Вопросы?
    Спасибо за внимание!
    ptsecurity.com
    @IwasakiRussia

    View Slide