Pro Yearly is on sale from $80 to $50! »

Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]

0c988f4618b436b14ce6ddcecd52d11d?s=47 DC7499
November 11, 2018

Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]

The talk revolves around the technical side of the implementation of the new event types introduced by Positive Technologies. We will decompose the infrastructure used for hackathons, CTFs, and other competitions, and look back at the past cybersecurity hackathon that took place in Nizhny Novgorod on October 12–13.

0c988f4618b436b14ce6ddcecd52d11d?s=128

DC7499

November 11, 2018
Tweet

Transcript

  1. Хакашоп: Хакатон + пентест + воркшоп

  2. Обо мне • Sergey Sobko (@IwasakiRussia, github:profitware; bug2bug.me) • Руководитель

    группы разработки Positive Technologies Application Firewall (UI) • Преподаватель курса веб- разработки в НИУ ВШЭ
  3. План • Зачем • Командная платформа • Облако и ресурсы

    • Хранилище кода • Уязвимости • Дальнейшие планы
  4. Зачем • Исследовать уязвимости и сообщить о них разработчикам •

    Показать разработчикам, что нужно знать о существовании таких уязвимостей или хотя бы об Application Firewall (: • Выработать подходы к проведению и масштабированию таких мероприятий
  5. Командная платформа • Сформировать команды (авторизация через GitHub) • Выбрать

    путь и задания • Видеть текущую активность команды • Использовать общее табло для духа соревнования
  6. Командная платформа

  7. Командная платформа

  8. Командная платформа

  9. Командная платформа

  10. Командная платформа

  11. Командная платформа

  12. Командная платформа Базируется на личном проекте для создания чеклистов: https://github.com/profitware/checklist

    (написано на Clojure)
  13. Облако и ресурсы • Kubernetes: Rancher • Redis, Minio, MySQL

    • Gitlab + Gitlab CI • Ansible Tower
  14. Хранилище кода • Приватные репозитарии GitHub? Очень дорого для мероприятия

    • Gitlab? Сложная регистрация • Gitlab со входом через GitHub!
  15. Хранилище кода Базовый шаблон для участников: https://github.com/hseling/hseling-api-template (пример Flask API)

  16. Хранилище кода • Dockerfile со всем необходимым • docker-compose.yaml •

    Предзаполненные requirements • Простое веб-приложение для демонстрации
  17. Уязвимости • Кто: команда пентестеров Positive Technologies • Хакатон (Нижний

    Новгород) – Flask: XSS, SSRF, Session hijacking • Хакатон (Нижний Новгород) – Django Admin: удаление чужих опросов (роли) • Командная платформа: захват чужой команды, XSS в sudo
  18. Уязвимости

  19. Уязвимости

  20. Уязвимости

  21. Уязвимости

  22. Уязвимости

  23. Уязвимости

  24. Уязвимости

  25. Уязвимости

  26. Уязвимости

  27. Дальнейшие планы • Следующий хакатон Positive Technologies в Новосибирске в

    феврале • Частично открыть исходники командной платформы • Попробовать воплотить некоторые идеи в Противостоянии на PHDays 21-22 мая 2018
  28. Вопросы? Спасибо за внимание! ptsecurity.com @IwasakiRussia