Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Дмитрий Муковкин. Как мы делали SibirCTF. Прове...

Avatar for KrasCTF KrasCTF
November 18, 2017
Technology
0
97

Дмитрий Муковкин. Как мы делали SibirCTF. Проверяющая система

KrasCTF Meetup 2017, Красноярск

Avatar for KrasCTF

KrasCTF

November 18, 2017
Tweet

More Decks by KrasCTF

See All by KrasCTF
Владимир Жираков. Канал утечки информации за счет ПЭМИН
Avatar for KrasCTF krasctf
0
440
Данил Бородавкин. Приглядываем за Windows
Avatar for KrasCTF krasctf
0
110
Александр Менщиков. Как мы делали Pentest CTF
Avatar for KrasCTF krasctf
2
110
Павел Шипулин. KrasCTF: как передать наследство?
Avatar for KrasCTF krasctf
0
110

Other Decks in Technology

See All in Technology
BPaaSにおける人と協働する前提のAIエージェント-AWS登壇資料
Avatar for KentaroFujii kentarofujii
0
140
2025年になってもまだMySQLが好き
Avatar for yoku0825 yoku0825
8
4.8k
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
8.7k
Terraformで構築する セルフサービス型データプラットフォーム / terraform-self-service-data-platform
Avatar for pei0804 pei0804
1
180
Webアプリケーションにオブザーバビリティを実装するRust入門ガイド
Avatar for nwiizo nwiizo
7
830
今!ソフトウェアエンジニアがハードウェアに手を出すには
Avatar for mackee mackee
12
4.8k
生成AI時代のデータ基盤設計〜ペースレイヤリングで実現する高速開発と持続性〜 / Levtech Meetup_Session_2
Avatar for Sansan R&D sansan_randd
1
150
自作JSエンジンに推しプロポーザルを実装したい!
Avatar for Saji sajikix
1
180
スマートファクトリーの第一歩 〜AWSマネージドサービスで 実現する予知保全と生成AI活用まで
Avatar for wanda ganota
2
220
AI時代を生き抜くエンジニアキャリアの築き方 (AI-Native 時代、エンジニアという道は 「最大の挑戦の場」となる) / Building an Engineering Career to Thrive in the Age of AI (In the AI-Native Era, the Path of Engineering Becomes the Ultimate Arena of Challenge)
Avatar for JaeSoon Jeong jeongjaesoon
0
150
La gouvernance territoriale des données grâce à la plateforme Terreze
Avatar for BlueHats bluehats
0
180
LLMを搭載したプロダクトの品質保証の模索と学び
Avatar for SmartHR 品質保証部 qa
0
1.1k

Featured

See All Featured
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
126
17k
Navigating Team Friction
Avatar for Lara Hogan lara
189
15k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
248
1.3M
A better future with KSS
Avatar for Kyle Neath kneath
239
17k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
15k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
696
190k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
87
4.8k
Gamification - CAS2011
Avatar for David Bonilla davidbonilla
81
5.4k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
59
9.5k
Context Engineering - Making Every Token Count
Avatar for Addy Osmani addyosmani
3
46
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
36
6.9k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
8
520

Transcript

  1. Как мы делали SibirCTF Проверяющая система

  2. Кто ты вообще?

  3. О чем хотелось рассказать • Менеджмент соревнований • Проверяющая система

  4. О чем будет рассказано 1. История проверяющих систем на SibirCTF

    2. Технологии 3. Проблемы

  5. О чем будет рассказано Все это сугубо личное мнение

  6. SibirCTF уже 4 года `14 6 команд 1 день 9

    команд 1 день 12 команд 3 дня 16 команд 4 дня `15 `16 `17

  7. 2014 год: проба сил • Проверяющая система написана на C++

    • 3 сервиса • Тестировалась на 2 командах • Писалась в “кратчайшие” сроки

  8. 2014 год: проба сил Упала через несколько минут после старта

  9. 2014 год: проба сил • Все проблемы были исправлены за

    полчаса • Отработала стабильно

  10. 2014 год: вынесенные уроки Необходимо тестировать все заранее, предусмотрев все

    возможные случаи

  11. 2014 год: вынесенные уроки Необходимо тестировать все заранее, предусмотрев все

    возможные случаи

  12. 2015 год: забыли про патч-корды • Решили взять чужую платформу,

    а не писать свою • Количество сервисов - 4

  13. 2015 год: забыли про патч-корды • Подняли после обеда •

    Почти написали свою собственную за час

  14. 2015 год: ошибки Нужно выбирать “правильных” людей на ключевые позиции.

    Необходимо постоянно следить за ходом работы этого человека. Если вы берете чужую разработку, то должны глубоко изучить её.

  15. 2016 год: пишем сами • Написали собственную платформу на Python

    • Тестировали в течении 2-3 месяцев • Написали 4 сервиса

  16. 2016 год: пишем сами • Ни разу не упала •

    Внештатных ситуаций не произошло

  17. 2016 год: выводы Проверяющая система это еще не все. Не

    стоит забывать про сервисы.

  18. 2017 год: все лучше и лучше Делаем упор на сервисы.

    Сервисы становятся “взламываемыми”

  19. 2017 год: итоги Нагрузка вырастает в несколько раз Обнаруживаются слабые

    места в платформе Стабильные платформа, сервисы - это еще не все. Необходимо думать об визуализации.

  20. 2017 год: итоги Нужно делать ШОУ!

  21. Что вообще за attack-defense

  22. Стек Python Почему? • Распространенность • Огромное количество библиотек •

    ...

  23. Архитектура • Модуль генерации флагов и постановки задач • Модуль

    работы с чекерами • Модуль приемки флагов • Скорборд

  24. База данных

  25. Скорборд Flask Не забыли включить мультипоточность

  26. Модуль генерации флагов и постановки задач • Генерирует флаги •

    Создает задачи и отправляет в очередь • Начисляет очки защиты

  27. Модуль работы с чекерами

  28. RabbitMQ Платформа, реализующая систему обмена сообщениями между компонентами программной системы

    на основе стандарта AMQP

  29. Модуль приемки флагов • Определяет команду • Проверяет сданный флаг

    • Если все условия выполняются, то начисляется очко атаки

  30. Итоги • Это не сложно, если ты обладаешь достаточными компетенциями

    • Но более ответственно (очень много точек отказа) • Нужно много-много тестировать • Облажаться - это тоже опыт

  31. Итоги https://github.com/KevaTeam/ctf-attack-defense/