Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Дмитрий Муковкин. Как мы делали SibirCTF. Прове...

Avatar for KrasCTF KrasCTF
November 18, 2017
Technology
0
96

Дмитрий Муковкин. Как мы делали SibirCTF. Проверяющая система

KrasCTF Meetup 2017, Красноярск
Avatar for KrasCTF

KrasCTF

November 18, 2017
Tweet

More Decks by KrasCTF

See All by KrasCTF
Владимир Жираков. Канал утечки информации за счет ПЭМИН
Avatar for KrasCTF krasctf
0
430
Данил Бородавкин. Приглядываем за Windows
Avatar for KrasCTF krasctf
0
110
Александр Менщиков. Как мы делали Pentest CTF
Avatar for KrasCTF krasctf
2
100
Павел Шипулин. KrasCTF: как передать наследство?
Avatar for KrasCTF krasctf
0
100

Other Decks in Technology

See All in Technology
「Chatwork」の認証基盤の移行とログ活用によるプロダクト改善
Avatar for kubell kubell_hr
1
200
Leveraging Open-Source Tools for Creating 3D Tiles in the Urban Environment
Avatar for Simone Giannecchini simboss
PRO
0
100
Amazon S3標準/ S3 Tables/S3 Express One Zoneを使ったログ分析
Avatar for ShigeruOda shigeruoda
4
550
"サービスチーム" での技術選定 / Making Technology Decisions for the Service Team
Avatar for 株式会社カミナシ kaminashi
1
170
ひとり情シスなCTOがLLMと始めるオペレーション最適化 / CTO's LLM-Powered Ops
Avatar for Mitsuki Ogasahara yamitzky
0
440
AWS アーキテクチャ作図入門/aws-architecture-diagram-101
Avatar for Kohei "Max" MATSUSHITA ma2shita
30
11k
Welcome to the LLM Club
Avatar for Koichi ITO koic
0
190
Amazon ECS & AWS Fargate 運用アーキテクチャ2025 / Amazon ECS and AWS Fargate Ops Architecture 2025
Avatar for iselegant iselegant
17
5.7k
より良いプロダクトの開発を目指して - 情報を中心としたプロダクト開発 #phpcon #phpcon2025
Avatar for 弁護士ドットコム bengo4com
1
3.1k
なぜ私はいま、ここにいるのか? #もがく中堅デザイナー #プロダクトデザイナー
Avatar for 弁護士ドットコム bengo4com
0
480
PHPでWebブラウザのレンダリングエンジンを実装する
Avatar for ディップ株式会社 dip_tech
PRO
0
210
生まれ変わった AWS Security Hub (Preview) を紹介 #reInforce_osaka / reInforce New Security Hub
Avatar for MasahiroKawahara masahirokawahara
0
220

Featured

See All Featured
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
2.9k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
58
9.4k
Code Review Best Practice
Avatar for Trisha Gee trishagee
68
18k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
337
57k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
524
40k
Visualization
Avatar for Eitan Lees eitanlees
146
16k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
Building Applications with DynamoDB
Avatar for Matt Wood mza
95
6.5k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
229
22k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
34
5.9k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
507
140k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
252
21k

Transcript

  1. Как мы делали SibirCTF Проверяющая система

  2. Кто ты вообще?

  3. О чем хотелось рассказать • Менеджмент соревнований • Проверяющая система

  4. О чем будет рассказано 1. История проверяющих систем на SibirCTF

    2. Технологии 3. Проблемы

  5. О чем будет рассказано Все это сугубо личное мнение

  6. SibirCTF уже 4 года `14 6 команд 1 день 9

    команд 1 день 12 команд 3 дня 16 команд 4 дня `15 `16 `17

  7. 2014 год: проба сил • Проверяющая система написана на C++

    • 3 сервиса • Тестировалась на 2 командах • Писалась в “кратчайшие” сроки

  8. 2014 год: проба сил Упала через несколько минут после старта

  9. 2014 год: проба сил • Все проблемы были исправлены за

    полчаса • Отработала стабильно

  10. 2014 год: вынесенные уроки Необходимо тестировать все заранее, предусмотрев все

    возможные случаи

  11. 2014 год: вынесенные уроки Необходимо тестировать все заранее, предусмотрев все

    возможные случаи

  12. 2015 год: забыли про патч-корды • Решили взять чужую платформу,

    а не писать свою • Количество сервисов - 4

  13. 2015 год: забыли про патч-корды • Подняли после обеда •

    Почти написали свою собственную за час

  14. 2015 год: ошибки Нужно выбирать “правильных” людей на ключевые позиции.

    Необходимо постоянно следить за ходом работы этого человека. Если вы берете чужую разработку, то должны глубоко изучить её.

  15. 2016 год: пишем сами • Написали собственную платформу на Python

    • Тестировали в течении 2-3 месяцев • Написали 4 сервиса

  16. 2016 год: пишем сами • Ни разу не упала •

    Внештатных ситуаций не произошло

  17. 2016 год: выводы Проверяющая система это еще не все. Не

    стоит забывать про сервисы.

  18. 2017 год: все лучше и лучше Делаем упор на сервисы.

    Сервисы становятся “взламываемыми”

  19. 2017 год: итоги Нагрузка вырастает в несколько раз Обнаруживаются слабые

    места в платформе Стабильные платформа, сервисы - это еще не все. Необходимо думать об визуализации.

  20. 2017 год: итоги Нужно делать ШОУ!

  21. Что вообще за attack-defense

  22. Стек Python Почему? • Распространенность • Огромное количество библиотек •

    ...

  23. Архитектура • Модуль генерации флагов и постановки задач • Модуль

    работы с чекерами • Модуль приемки флагов • Скорборд

  24. База данных

  25. Скорборд Flask Не забыли включить мультипоточность

  26. Модуль генерации флагов и постановки задач • Генерирует флаги •

    Создает задачи и отправляет в очередь • Начисляет очки защиты

  27. Модуль работы с чекерами

  28. RabbitMQ Платформа, реализующая систему обмена сообщениями между компонентами программной системы

    на основе стандарта AMQP

  29. Модуль приемки флагов • Определяет команду • Проверяет сданный флаг

    • Если все условия выполняются, то начисляется очко атаки

  30. Итоги • Это не сложно, если ты обладаешь достаточными компетенциями

    • Но более ответственно (очень много точек отказа) • Нужно много-много тестировать • Облажаться - это тоже опыт

  31. Итоги https://github.com/KevaTeam/ctf-attack-defense/