Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Дмитрий Муковкин. Как мы делали SibirCTF. Прове...

KrasCTF
November 18, 2017
Technology
0
83

Дмитрий Муковкин. Как мы делали SibirCTF. Проверяющая система

KrasCTF Meetup 2017, Красноярск

KrasCTF

November 18, 2017
Tweet

More Decks by KrasCTF

See All by KrasCTF
Владимир Жираков. Канал утечки информации за счет ПЭМИН
krasctf
0
390
Данил Бородавкин. Приглядываем за Windows
krasctf
0
92
Александр Менщиков. Как мы делали Pentest CTF
krasctf
2
92
Павел Шипулин. KrasCTF: как передать наследство?
krasctf
0
89

Other Decks in Technology

See All in Technology
組織成長を加速させるオンボーディングの取り組み
sudoakiy
2
210
OCI Security サービス 概要
oracle4engineer
PRO
0
6.5k
AGIについてChatGPTに聞いてみた
blueb
0
130
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
210
rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理
kitsuya0828
3
390
個人でもIAM Identity Centerを使おう!(アクセス管理編)
ryder472
4
230
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
310
TypeScript、上達の瞬間
sadnessojisan
46
13k
第1回 国土交通省 データコンペ参加者向け勉強会③ - Snowflake x estie編 -
estie
0
130
テストコード品質を高めるためにMutation Testingライブラリ・Strykerを実戦導入してみた話
ysknsid25
7
2.7k
DynamoDB でスロットリングが発生したとき/when_throttling_occurs_in_dynamodb_short
emiki
0
250
Incident Response Practices: Waroom's Features and Future Challenges
rrreeeyyy
0
160

Featured

See All Featured
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
900
4 Signs Your Business is Dying
shpigford
180
21k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
A better future with KSS
kneath
238
17k
Six Lessons from altMBA
skipperchong
27
3.5k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.3k
Building Adaptive Systems
keathley
38
2.3k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.2k
Designing the Hi-DPI Web
ddemaree
280
34k
Site-Speed That Sticks
csswizardry
0
28
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
506
140k
For a Future-Friendly Web
brad_frost
175
9.4k

Transcript

  1. Как мы делали SibirCTF Проверяющая система

  2. Кто ты вообще?

  3. О чем хотелось рассказать • Менеджмент соревнований • Проверяющая система

  4. О чем будет рассказано 1. История проверяющих систем на SibirCTF

    2. Технологии 3. Проблемы

  5. О чем будет рассказано Все это сугубо личное мнение

  6. SibirCTF уже 4 года `14 6 команд 1 день 9

    команд 1 день 12 команд 3 дня 16 команд 4 дня `15 `16 `17

  7. 2014 год: проба сил • Проверяющая система написана на C++

    • 3 сервиса • Тестировалась на 2 командах • Писалась в “кратчайшие” сроки

  8. 2014 год: проба сил Упала через несколько минут после старта

  9. 2014 год: проба сил • Все проблемы были исправлены за

    полчаса • Отработала стабильно

  10. 2014 год: вынесенные уроки Необходимо тестировать все заранее, предусмотрев все

    возможные случаи

  11. 2014 год: вынесенные уроки Необходимо тестировать все заранее, предусмотрев все

    возможные случаи

  12. 2015 год: забыли про патч-корды • Решили взять чужую платформу,

    а не писать свою • Количество сервисов - 4

  13. 2015 год: забыли про патч-корды • Подняли после обеда •

    Почти написали свою собственную за час

  14. 2015 год: ошибки Нужно выбирать “правильных” людей на ключевые позиции.

    Необходимо постоянно следить за ходом работы этого человека. Если вы берете чужую разработку, то должны глубоко изучить её.

  15. 2016 год: пишем сами • Написали собственную платформу на Python

    • Тестировали в течении 2-3 месяцев • Написали 4 сервиса

  16. 2016 год: пишем сами • Ни разу не упала •

    Внештатных ситуаций не произошло

  17. 2016 год: выводы Проверяющая система это еще не все. Не

    стоит забывать про сервисы.

  18. 2017 год: все лучше и лучше Делаем упор на сервисы.

    Сервисы становятся “взламываемыми”

  19. 2017 год: итоги Нагрузка вырастает в несколько раз Обнаруживаются слабые

    места в платформе Стабильные платформа, сервисы - это еще не все. Необходимо думать об визуализации.

  20. 2017 год: итоги Нужно делать ШОУ!

  21. Что вообще за attack-defense

  22. Стек Python Почему? • Распространенность • Огромное количество библиотек •

    ...

  23. Архитектура • Модуль генерации флагов и постановки задач • Модуль

    работы с чекерами • Модуль приемки флагов • Скорборд

  24. База данных

  25. Скорборд Flask Не забыли включить мультипоточность

  26. Модуль генерации флагов и постановки задач • Генерирует флаги •

    Создает задачи и отправляет в очередь • Начисляет очки защиты

  27. Модуль работы с чекерами

  28. RabbitMQ Платформа, реализующая систему обмена сообщениями между компонентами программной системы

    на основе стандарта AMQP

  29. Модуль приемки флагов • Определяет команду • Проверяет сданный флаг

    • Если все условия выполняются, то начисляется очко атаки

  30. Итоги • Это не сложно, если ты обладаешь достаточными компетенциями

    • Но более ответственно (очень много точек отказа) • Нужно много-много тестировать • Облажаться - это тоже опыт

  31. Итоги https://github.com/KevaTeam/ctf-attack-defense/