Привет, Хабр. Я занимаюсь поиском уязвимостей уже много лет и понял, что это глобальное и динамичное направление. Описать его в одной книге невозможно. Каждый день я получаю новые знания о технологиях, а также о недостатках в их безопасности.

Для меня основным источником знаний являются отчеты других исследователей в этой области. Читая отчеты, я нахожу для себя интересные приемы, которые в дальнейшем применяю в своей работе. Как правило, недостаточно прочитать отчет, что бы разобраться в первопричине уязвимости. Поэтому я начал моделировать ситуации, при которых может появляться описанная уязвимость. У меня начали появляться виртуальные машины с уязвимыми веб-страницами. Изначально я публиковал их в своем телеграм-канале, но это не удобно, поскольку образы виртуальных машин весят от 1GB. Людям приходилось скачивать образ и устанавливать его в VirtualBox.

В связи с этим было принято решение разработать портал, где пользователи смогут запускать виртуальные машины с уязвимыми страницами по щелчку мышки.
Спустя долгие месяцы разработки я рад представить сайт hackerhub.pro. На сайте вы можете запускать виртуальные машины и взламывать. Задания предоставляются в формате CTF, где при успешном взломе вы получаете флаг. Во время отправки флага вам предлагается указать сложность виртуальной машины, что будет полезно другим пользователям.

Сайт готов к использованию, но впереди еще много работы. Поскольку на сайте нет платного контента, я буду очень благодарен за материальную помощь в развитии ресурса.

Hello, Habr. I have been involved in vulnerability research for many years and have realized that it is a global and dynamic field. It's impossible to describe it in just one book. Every day, I gain new knowledge about technologies, as well as their security flaws.

For me, the main source of knowledge is reports from other researchers in this field. When reading reports, I find interesting techniques that I later apply in my work. Usually, it's not enough to just read the report to understand the root cause of a vulnerability. That's why I started simulating situations in which the described vulnerability may appear. I began creating virtual machines with vulnerable web pages. Initially, I published them in my Telegram channel, but it was inconvenient since virtual machine images weigh around 1GB. People had to download the image and install it in VirtualBox.

Therefore, it was decided to develop a portal where users could run virtual machines with vulnerable pages with just one click. After many months of development, I am pleased to introduce the website hackerhub.pro. On the website, you can run virtual machines and hack them. Tasks are provided in the CTF format, where you receive a flag upon successful hack. When submitting a flag, you are offered to specify the difficulty of the virtual machine, which will be helpful to other users.

The website is ready for use, but there is still much work ahead. Since there is no paid content on the website, I would be very grateful for material support in developing the resource.

Пользовательский интерфейс

Доброго времени суток! В этом небольшом опусе я хотел бы глазами участника рассказать как проходят соревнования CTF типа attack-defence и, в частности, осветить минувшее соревнование m*ctf. Но перед всем этим хочется поблагодарить свой Университет Иннополис за возможность побывать на этом (и множестве других) мероприятий.

Под катом как организационные, так и технические детали прошедших соревнований. И конечно же много-много фотографий!

Hi there,
We found This executable on the local watchmaker's computer.
It is rumored that somehow the watchmaker was the only person who succeeded to crack it.
Think you're as good as the watchmaker?
Note: This file is not malicious in any way

Автор: Иннокентий Сенновский (rumata888)

Как заинтересовать студента скучным предметом? Придать учебе форму игры. Довольно давно кто-то придумал такую игру в области безопасности — Capture the Flag, или CTF. Так ленивым студентам было интереснее изучать, как реверсить программы, куда лучше вставить кавычки и почему проприетарное шифрование — это как с разбегу прыгнуть на грабли.

Студенты выросли, и теперь в этих «играх» участвуют и взрослые прожженные специалисты с детьми и ипотекой. Они многое успели повидать, поэтому сделать таск для CTF, чтобы «старики» не ныли, не самая простая задача.

А переборщишь с хардкором — и взвоют команды, у которых это непрофильная предметная область или первый серьезный CTF.

В статье я расскажу, как наша команда нашла баланс между «хм, нечто новенькое» и «это какая-то жесть», разрабатывая таск по крипте для финала CTFZone в этом году.

Финальный scoreboard CTFZone 2020

В декабре 2020 года, за неделю до нового года, компании Semrush и Mail.ru Group решили провести совместное обучающее мероприятие по информационной безопасности в формате CTF. 

Причём тут разработчики, тестировщики и devops, зачем и почему – расскажем в этой статье.

Что есть CTF?