Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Дмитрий Муковкин. Как мы делали SibirCTF. Прове...

Avatar for KrasCTF KrasCTF
November 18, 2017
Technology
0
97

Дмитрий Муковкин. Как мы делали SibirCTF. Проверяющая система

KrasCTF Meetup 2017, Красноярск

Avatar for KrasCTF

KrasCTF

November 18, 2017
Tweet

More Decks by KrasCTF

See All by KrasCTF
Владимир Жираков. Канал утечки информации за счет ПЭМИН
Avatar for KrasCTF krasctf
0
440
Данил Бородавкин. Приглядываем за Windows
Avatar for KrasCTF krasctf
0
110
Александр Менщиков. Как мы делали Pentest CTF
Avatar for KrasCTF krasctf
2
110
Павел Шипулин. KrasCTF: как передать наследство?
Avatar for KrasCTF krasctf
0
110

Other Decks in Technology

See All in Technology
Git in Team
Avatar for Yasunobu Kawaguchi kawaguti
PRO
3
360
Geospatialの世界最前線を探る [2025年版]
Avatar for Yasunori Kirimoto dayjournal
1
220
GoでもGUIアプリを作りたい!
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
0
140
ガバメントクラウド(AWS)へのデータ移行戦略の立て方【虎の巻】 / 20251011 Mitsutosi Matsuo
Avatar for SHIFT EVOLVE shift_evolve
PRO
2
190
JAZUG 15周年記念 × JAT「AI Agent開発者必見:"今"のOracle技術で拡張するAzure × OCIの共存アーキテクチャ」
Avatar for KoheiOgawa shisyu_gaku
1
160
ユーザーの声とAI検証で進める、プロダクトディスカバリー
Avatar for SansanTech sansantech
PRO
1
130
AgentCon Accra: Ctrl + Alt + Assist: AI Agents Edition
Avatar for Bethany Jepchumba bethany
0
100
【Kaigi on Rails 事後勉強会LT】MeはどうしてGirlsに? 私とRubyを繋いだRail(s)
Avatar for joy joyfrommasara
0
240
Introduction to Sansan Meishi Maker Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
310
Digitization部 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
5.5k
Introduction to Bill One Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
300
Adapty_東京AI祭ハッカソン2025ピッチスライド
Avatar for shino shinoyamada
0
290

Featured

See All Featured
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
75
5.1k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
31
2.7k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.7k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.5k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
9
870
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
45
7.7k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
620
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
127
53k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
32
2.3k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
248
1.3M
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
33
8.9k

Transcript

  1. Как мы делали SibirCTF Проверяющая система

  2. Кто ты вообще?

  3. О чем хотелось рассказать • Менеджмент соревнований • Проверяющая система

  4. О чем будет рассказано 1. История проверяющих систем на SibirCTF

    2. Технологии 3. Проблемы

  5. О чем будет рассказано Все это сугубо личное мнение

  6. SibirCTF уже 4 года `14 6 команд 1 день 9

    команд 1 день 12 команд 3 дня 16 команд 4 дня `15 `16 `17

  7. 2014 год: проба сил • Проверяющая система написана на C++

    • 3 сервиса • Тестировалась на 2 командах • Писалась в “кратчайшие” сроки

  8. 2014 год: проба сил Упала через несколько минут после старта

  9. 2014 год: проба сил • Все проблемы были исправлены за

    полчаса • Отработала стабильно

  10. 2014 год: вынесенные уроки Необходимо тестировать все заранее, предусмотрев все

    возможные случаи

  11. 2014 год: вынесенные уроки Необходимо тестировать все заранее, предусмотрев все

    возможные случаи

  12. 2015 год: забыли про патч-корды • Решили взять чужую платформу,

    а не писать свою • Количество сервисов - 4

  13. 2015 год: забыли про патч-корды • Подняли после обеда •

    Почти написали свою собственную за час

  14. 2015 год: ошибки Нужно выбирать “правильных” людей на ключевые позиции.

    Необходимо постоянно следить за ходом работы этого человека. Если вы берете чужую разработку, то должны глубоко изучить её.

  15. 2016 год: пишем сами • Написали собственную платформу на Python

    • Тестировали в течении 2-3 месяцев • Написали 4 сервиса

  16. 2016 год: пишем сами • Ни разу не упала •

    Внештатных ситуаций не произошло

  17. 2016 год: выводы Проверяющая система это еще не все. Не

    стоит забывать про сервисы.

  18. 2017 год: все лучше и лучше Делаем упор на сервисы.

    Сервисы становятся “взламываемыми”

  19. 2017 год: итоги Нагрузка вырастает в несколько раз Обнаруживаются слабые

    места в платформе Стабильные платформа, сервисы - это еще не все. Необходимо думать об визуализации.

  20. 2017 год: итоги Нужно делать ШОУ!

  21. Что вообще за attack-defense

  22. Стек Python Почему? • Распространенность • Огромное количество библиотек •

    ...

  23. Архитектура • Модуль генерации флагов и постановки задач • Модуль

    работы с чекерами • Модуль приемки флагов • Скорборд

  24. База данных

  25. Скорборд Flask Не забыли включить мультипоточность

  26. Модуль генерации флагов и постановки задач • Генерирует флаги •

    Создает задачи и отправляет в очередь • Начисляет очки защиты

  27. Модуль работы с чекерами

  28. RabbitMQ Платформа, реализующая систему обмена сообщениями между компонентами программной системы

    на основе стандарта AMQP

  29. Модуль приемки флагов • Определяет команду • Проверяет сданный флаг

    • Если все условия выполняются, то начисляется очко атаки

  30. Итоги • Это не сложно, если ты обладаешь достаточными компетенциями

    • Но более ответственно (очень много точек отказа) • Нужно много-много тестировать • Облажаться - это тоже опыт

  31. Итоги https://github.com/KevaTeam/ctf-attack-defense/