Pull to refresh

Open InfoSec Days в Томске. Сводка деятельности

Reading time 2 min
Views 463
Несколько недель назад я писал о бесплатных занятиях по информационной (без)опасности в Томске.
Новость получила довольно широкое распространение, занятия идут, а этот пост — небольшой рассказ, что же проходит на занятиях, как можно «приобщиться» к нам и получать знания, не пребывая в Томске.
У кого нет хабра-аккаунта может прочитать тут

О занятиях


Проходят по субботам, ориентировочно в 3-5 вечера в 106 аудитории СБИ «Дружба». По продолжительности около часа. Занятия построены подобным образом:
  • Презентация. Немного теории о теме занятия, выбранной уязвимости. В случае уязвимостей — оценка угроз, причины возникновения, немного о защите.
  • Практика. Создаются лабораторные условия для демонстрации (пишется за ранее скрипт/сайт, настраивается подходящим способом серверное по/модули) и проводится атака, построенная на уязвимости.

1 занятие, 17 сентября. XSS

На первое занятие пришло более > 120 человек. Было 70 стульев, принесли еще около 40, все места были заняты + народ стоял. Видимо услышали знакомые где-то слова и пришли ради интереса, не имея никакой базы. Ну, это было ожидаемо. Было очень сложно вести занятие, но я не хотел и нет до сих пор никаких критериев для участников и то, с чем пришлось столкнуться — нужно было просто пережить. На период ожидания крутилась демосцена, немного создавая обстановку.

2 занятие, 24 сентября. CSRF

Пришло около 40~50 человек. Было уже легче и со стороны организации, и стороны просто ведения занятия. Прошло довольно резво. Демонстрацию тоже не утомила, уложились в 45 минут.

3 занятие, 1 октября. File Inclusion

Пришло чуть больше людей, чем на второе занятие. Это занятие и следующее (sql inj) — скорее по целевому взлому. Разобрали LFI/RFI, продемонстрировали использование null-byte injection на «живом» буржуйском хостинге. Попробовали LFI через логи апача, получили права выполнения произвольных команд на сервере несколькими способами.

Материалы занятий


После занятия в течение недели на сайте выкладывается:
  • презентация
  • видео-запись с двух камер (со второй пока нет, но скоро будет, нужно конвертить)
  • уязвимые скрипты или скрипты, эксплуатирующие уязвимость

Доступны по ссылке.

СМИ


И тут нас не обошли стороной. Небольшой репортаж от ТВ-ТУСУР:


Куда идем?


Пока сложно оценить, во что в итоге все это выльется. Но после первого занятия как результат тест почты от mail.ru на XSS одним из участников наших занятий (flexo), при чем «успешный» (статья «Уводим чужие cookies c mail.ru»)

Материалы, программа и новости занятий доступны по ссылке: oisd.sergeybelove.ru
Группа вконтакте (обсуждения, пожелания, вопросы по занятиям): vk.com/openinfosecdays
Плейлист с записями занятий: www.youtube.com/playlist?list=PLC01F29C5DAC8590F

P.S. Буду рад предложениям по выбранным темам, пока еще идет web. Просто как закончим главу атак на веб-приложения, перейдем к сетевым атакам и атакам на ОС и не будем возвращаться назад.

… И да, кто-то хотел организовать что-то подобное у себя в городе. Все материалы доступны, а я всегда готов для сотрудничества, контакты указаны в профайле.
Tags:
Hubs:
Total votes 3: ↑3 and ↓0 +3
Comments 0
Comments Leave a comment

Articles