Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Дмитрий Муковкин. Как мы делали SibirCTF. Прове...

KrasCTF
November 18, 2017
Technology
0
85

Дмитрий Муковкин. Как мы делали SibirCTF. Проверяющая система

KrasCTF Meetup 2017, Красноярск

KrasCTF

November 18, 2017
Tweet

More Decks by KrasCTF

See All by KrasCTF
Владимир Жираков. Канал утечки информации за счет ПЭМИН
krasctf
0
420
Данил Бородавкин. Приглядываем за Windows
krasctf
0
96
Александр Менщиков. Как мы делали Pentest CTF
krasctf
2
99
Павел Шипулин. KrasCTF: как передать наследство?
krasctf
0
96

Other Decks in Technology

See All in Technology
役員・マネージャー・著者・エンジニアそれぞれの立場から見たAWS認定資格
nrinetcom
PRO
4
6.8k
プルリクエストレビューを終わらせるためのチーム体制 / The Team for Completing Pull Request Reviews
nekonenene
3
1.1k
データモデルYANGの処理系を再発明した話
tjmtrhs
0
310
20250307_エンジニアじゃないけどAzureはじめてみた
ponponmikankan
2
120
サバイバルモード下でのエンジニアリングマネジメント
konifar
21
7.1k
困難を「一般解」で解く
fujiwara3
7
2.2k
プロダクト開発者目線での Entra ID 活用
sansantech
PRO
0
120
手を動かしてレベルアップしよう!
maruto
0
250
データエンジニアリング領域におけるDuckDBのユースケース
chanyou0311
9
2.6k
開発組織を進化させる!AWSで実践するチームトポロジー
iwamot
2
540
ExaDB-XSで利用されている Exadata Exascaleについて
oracle4engineer
PRO
3
300
Amazon Aurora のバージョンアップ手法について
smt7174
2
190

Featured

See All Featured
A Modern Web Designer's Workflow
chriscoyier
693
190k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.2k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.3k
A designer walks into a library…
pauljervisheath
205
24k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.3k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
30
4.6k
The Language of Interfaces
destraynor
156
24k
Building an army of robots
kneath
303
45k
Making the Leap to Tech Lead
cromwellryan
133
9.1k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
10
530
Designing Experiences People Love
moore
140
23k

Transcript

  1. Как мы делали SibirCTF Проверяющая система

  2. Кто ты вообще?

  3. О чем хотелось рассказать • Менеджмент соревнований • Проверяющая система

  4. О чем будет рассказано 1. История проверяющих систем на SibirCTF

    2. Технологии 3. Проблемы

  5. О чем будет рассказано Все это сугубо личное мнение

  6. SibirCTF уже 4 года `14 6 команд 1 день 9

    команд 1 день 12 команд 3 дня 16 команд 4 дня `15 `16 `17

  7. 2014 год: проба сил • Проверяющая система написана на C++

    • 3 сервиса • Тестировалась на 2 командах • Писалась в “кратчайшие” сроки

  8. 2014 год: проба сил Упала через несколько минут после старта

  9. 2014 год: проба сил • Все проблемы были исправлены за

    полчаса • Отработала стабильно

  10. 2014 год: вынесенные уроки Необходимо тестировать все заранее, предусмотрев все

    возможные случаи

  11. 2014 год: вынесенные уроки Необходимо тестировать все заранее, предусмотрев все

    возможные случаи

  12. 2015 год: забыли про патч-корды • Решили взять чужую платформу,

    а не писать свою • Количество сервисов - 4

  13. 2015 год: забыли про патч-корды • Подняли после обеда •

    Почти написали свою собственную за час

  14. 2015 год: ошибки Нужно выбирать “правильных” людей на ключевые позиции.

    Необходимо постоянно следить за ходом работы этого человека. Если вы берете чужую разработку, то должны глубоко изучить её.

  15. 2016 год: пишем сами • Написали собственную платформу на Python

    • Тестировали в течении 2-3 месяцев • Написали 4 сервиса

  16. 2016 год: пишем сами • Ни разу не упала •

    Внештатных ситуаций не произошло

  17. 2016 год: выводы Проверяющая система это еще не все. Не

    стоит забывать про сервисы.

  18. 2017 год: все лучше и лучше Делаем упор на сервисы.

    Сервисы становятся “взламываемыми”

  19. 2017 год: итоги Нагрузка вырастает в несколько раз Обнаруживаются слабые

    места в платформе Стабильные платформа, сервисы - это еще не все. Необходимо думать об визуализации.

  20. 2017 год: итоги Нужно делать ШОУ!

  21. Что вообще за attack-defense

  22. Стек Python Почему? • Распространенность • Огромное количество библиотек •

    ...

  23. Архитектура • Модуль генерации флагов и постановки задач • Модуль

    работы с чекерами • Модуль приемки флагов • Скорборд

  24. База данных

  25. Скорборд Flask Не забыли включить мультипоточность

  26. Модуль генерации флагов и постановки задач • Генерирует флаги •

    Создает задачи и отправляет в очередь • Начисляет очки защиты

  27. Модуль работы с чекерами

  28. RabbitMQ Платформа, реализующая систему обмена сообщениями между компонентами программной системы

    на основе стандарта AMQP

  29. Модуль приемки флагов • Определяет команду • Проверяет сданный флаг

    • Если все условия выполняются, то начисляется очко атаки

  30. Итоги • Это не сложно, если ты обладаешь достаточными компетенциями

    • Но более ответственно (очень много точек отказа) • Нужно много-много тестировать • Облажаться - это тоже опыт

  31. Итоги https://github.com/KevaTeam/ctf-attack-defense/