Как стать автором
Обновить
3.17
Рейтинг

CTF *

Командные соревнования по инфобезу в формате CTF

Сначала показывать
Порог рейтинга

Разбор таска Let's Defend. DogWalk 0-Day Activity

Информационная безопасность *CTF *
Tutorial

В далеком 2020 году независимый исследователь Imre Rad опубликовал статью с уязвимостью в компоненте операционной системы Windows - msdt.exe (тот самый =) ). Microsoft посчитала найденную уязвимость недостаточно критичной, чтобы на нее реагировать. Однако после истории с Follina вендор решил выпустить патч, закрывающий уязвимость DogWalk.

Читать далее
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 1.2K
Комментарии 0

Новости

Как я стал пентестером за 4 месяца без опыта работы в IT cфере

Информационная безопасность *Карьера в IT-индустрии CTF *
Из песочницы

Привет, Хабр! Меня зовут Кошевой Данила и мне 22 года. На данный момент живу и работаю в Москве. В июне 2022 года я получил работу в сфере ИБ в качестве Junior Pentester. Интересным является то, что за 4 месяца до выхода на работу я даже не знал о том, что из себя представляет сфера информационной безопасности, какие знания требуются на рынке, какие технологии используются, а также понятия не имел о том, кто такой “Pentester” и чем он занимается.

У вас наверно возникает вопрос: “Как же у тебя получилось вкатиться в IT сферу с 0 знаниями за 4 месяца???”. Именно на этот вопрос я отвечу в этой статье, дам полезные советы и поделюсь обучающими ресурсами с людьми, которые хотят заполучить свою первую работу в сфере ИБ, не имея при этом 10 лет опыта работы за плечами.

Читать далее
Всего голосов 26: ↑11 и ↓15 -4
Просмотры 24K
Комментарии 27

Practical Security Village Sochi

Блог компании Deiteriy Lab Информационная безопасность *Конференции CTF *

16 сентября мы проведем наш воркшоп по практической информационной безопасности Practical Security Village в формате оффлайн.

Воркшоп пройдет в Сочи, на территории горнолыжного курорта Роза Хутор. Вас ожидает: обучение, живое общение, прогулки по черноморскому побережью, горные пейзажи и особая атмосфера бархатного сезона.

Традиционно для участников мы подготовили инфраструктуру с заложенными в ней уязвимостями. У вас будет возможность познакомиться с актуальными уязвимостями и способами их эксплуатации.

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 444
Комментарии 0

Как рассуждать, чтобы проходить Capture The Flag игры

JavaScript *CTF *
Из песочницы

Capture The Flag - название ряда соревнований в информатике, чаще всего - в информационной безопасности. Как веб-разработчик, я интересуюсь только CTF в области web'а - поиск уязвимостей, атаки, сетевое взаимодействие. На старте решения первого CTF было трудно понять, как же именно рассуждают проф. игроки, участвующие в турнирах, и я решил написать несколько статей о том, как можно искать зацепки в исходных данных и как раскручивать их до победы.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 3.3K
Комментарии 11

BlueTeam Trainings — разбор задания WireDive категории Digital Forensics от CyberDefenders

Информационная безопасность *Cisco *CTF *
Из песочницы

Это первая статья из цикла “BlueTeam Trainings”. CyberDefenders является учебно-тренировочной платформой, которая предоставляет возможность на практике проверять уже имеющиеся навыки и приобретать новые в области информационной безопасности.

Читать далее
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 1.1K
Комментарии 0

Practical Security Village 2022

Блог компании Deiteriy Lab Информационная безопасность *Конференции CTF *

Всем привет! 7 июля мы проведем наш воркшоп по практической информационной безопасности Practical Security Village.

Воркшоп пройдет в формате Online, принять участие в нем может любой желающий. Участие бесплатное.

Для участников мы подготовили инфраструктуру с заложенными в ней уязвимостями. Основная идея воркшопа заключается в том, чтобы вы могли познакомиться с новыми технологиями, получить новые знания об интересных уязвимостях, способах их эксплуатации и методах, позволяющих не допустить возникновения таких уязвимостей.

Успешно эксплуатируя уязвимости, вы будете захватывать флаги и получать очки. Мы создавали задания такими, чтобы они были интересны как новичкам, так и опытным специалистам по информационной безопасности.

Перед началом воркшопа мы опубликуем справочные материалы, которые помогут в выполнении заданий. Также мы организуем чат, в котором участники смогут задавать вопросы по заданиям.

Лучшие участники получат памятные призы.

Регистрация на воркшоп доступна на сайте: www.practicalsecurityvillage.ru

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 920
Комментарии 2

Создаем свой терминал в Google Colab для работ в GitHub, GDrive, NGrok и.т.д

Облачные вычисления *CTF *Облачные сервисы *Искусственный интеллект Криптовалюты

В настоящее время машинное обучение и глубокое обучение стали самой горячей тенденцией в индустрии компьютерных наук. Многие разработчики создают потрясающие проекты с помощью Google Colab.

Читать далее
Всего голосов 7: ↑3 и ↓4 -1
Просмотры 3.7K
Комментарии 2

Одна слабая транзакция в ECDSA в блокчейне Биткоина и с помощью Lattice Attack мы получили Private Key к монетам BTC

Криптография *Python *GitHub *CTF *Криптовалюты
Из песочницы

Что мы знаем про решетчатую атаку?

Начнем с того что алгоритм цифровой подписи на эллиптических кривых (ECDSA) — это распространенная схема цифровой подписи, которую мы видим во многих наших обзорах кода. Он обладает некоторыми желательными свойствами, но также может быть очень хрупким для восстановления закрытого ключа с помощью атаки по побочному каналу, раскрывающей менее одного бита секретного одноразового номера.

ECDSA — это особая форма алгоритма цифровой подписи (DSA)DSA — это довольно распространенная схема цифровой подписи , которая определяется тремя алгоритмами: генерация ключа, подпись и проверка.

Если одноразовый номер NONCES для подписи когда-либо раскрывается, секретный ключможет быть немедленно восстановлен, что нарушает всю нашу схему подписи.

Кроме того, если два одноразовых номера когда-либо повторяются, независимо от того, что представляют собой сообщения, злоумышленник может легко обнаружить это и немедленно восстановить секретный ключ, снова нарушив всю нашу схему.

Это довольно хрупко, и это только легкие атаки!

Но существует новая атака Lattice Attack которую очень подробно и детально описали Йоахим Брайтнер и Надя Хенингер (Joachim Breitner and Nadia Heninger)

В блокчейне Биткоина мы нашли некую транзакцию:

transaction: 08d917f0fee48b0d765006fa52d62dd3d704563200f2817046973e3bf6d11f1f

для Биткоин Адреса: 15N1KY5ohztgCXtEe13BbGRk85x2FPgW8E

и нам удалось размножить фейковые подписи и применить решетку

где с помощью Python-скрипта algorithmLLL.py с установкой пакетов в GOOGLE COLAB

INSTALL >> SAGE + ECDSA + BITCOIN + algorithm LLL

Нам удалось получить Private Key к Bitcoin Wallet из одной слабой транзакции в ECDSA.

Читать далее
Всего голосов 25: ↑19 и ↓6 +13
Просмотры 9K
Комментарии 13

Риски безопасности ИИ на практике: разбор конкурса AI CTF на PHDays 11

Блог компании Positive Technologies Информационная безопасность *Машинное обучение *CTF *Искусственный интеллект

Уже традиционно в рамках PHDays мы организовали AI CTF — соревнование в формате capture the flag, затрагивающее риски безопасности систем ИИ. Что было интересного в этом году, расскажем ниже в посте.

Но сейчас немного истории:

AI CTF 2019: habr.com/ru/company/pt/blog/454206/

AI CTF 2021: habr.com/ru/company/pt/blog/560474/

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 1.1K
Комментарии 0

Фарм мерча от Positive Technologies на PHD11

Хакатоны Читальный зал CTF *
Из песочницы

с 18 по 19 мая 2022 года проходил всем известный международный форум по практической безопасности Positive Hack Days.На мероприятии как всегда были представлены различные вендоры из сферы IT, каждый из которых раздавал свои именные товары. Самыми интересными на мой взгляд были Positive Technologies. Как было организовано испытание для получения мерча под катом.

Читать далее
Всего голосов 3: ↑2 и ↓1 +1
Просмотры 2K
Комментарии 2

Итоги квеста: комната хакера и победители

Блог компании RUVDS.com Информационная безопасность *CTF *

Пришло время подвести итоги нашего ежегодного CTF-квеста от команды RUVDS.

Расскажем о последнем этапе, откроем лица и наконец-то объявим победителей, которые беспрерывно квестовались 2,5 месяца!

Искра, буря, безумие — 82 дня борьбы и тысячи сообщений в чате. Криптография, реверс-инжиниринг и самая настоящая матрица. Кто же такой John Roe и зачем он столько времени скрывался?..
Читать дальше →
Всего голосов 51: ↑51 и ↓0 +51
Просмотры 4.6K
Комментарии 1

Маленький хакер. Первый шаг

Информационная безопасность *CTF *
Tutorial

В этой статье вы получите минимально необходимую теорию для вашего первого шаг на пути обучения этичному хакеру. Для тренировки мы будем использовать сервис HTB. Темы которые мы бегло рассмотрим: Kali Linux, SSH, FTP, Telnet. Статья будет разделена на две части: Необходимая теория, Где применять.

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 1.8K
Комментарии 3

Хакерский квест RUVDS подходит к концу, но сразиться за главный приз 142 857 рублей еще не поздно

Блог компании RUVDS.com Информационная безопасность *Криптография *CTF *

Пока участники квеста готовятся к финальным испытаниям, а снег потихоньку тает в городах, расскажем для тех, кто пропустил начало, о пройденных этапах интерактивного хакерского кветса, и что ждать от финала.

Напомним, с чего всё началось: участники уже раскрыли секрет «Загадочной визитки», которую разобрали до последнего волокна и в результате залетели в блокчейн, а далее и в межпланетную файловую систему с новой порцией загадок.
Читать дальше →
Всего голосов 26: ↑26 и ↓0 +26
Просмотры 3.9K
Комментарии 0

PHDays 2022: киберарт под угрозой. Снова

Блог компании Positive Technologies Информационная безопасность *CTF *Криптовалюты Будущее здесь

Коллекционеры уже давно не хранят произведения искусства в сейфах — галереи и музеи по уровню безопасности не уступают самым надежным хранилищам. Но можно ли украсть картину, не выходя из дома? 

На PHDays 2022 в мае пройдет обновленный The Standoff Digital Art. Аазартные исследователи снова попытаются завладеть крипто-артом настоящих художников прямо в метавселенной, а гости форума побывают в Лондоне, не покидая Москвы.

Подробности
Всего голосов 2: ↑1 и ↓1 0
Просмотры 1K
Комментарии 0

Все, что нужно знать про «Broken access control»

Информационная безопасность *JavaScript *Программирование *Управление разработкой *CTF *
Из песочницы

В минувшем году OWASP обновил список TOP-10 самых распространенных векторов атак на современные веб-приложения. Этот список претерпел ряд изменений по сравнению с его последней редакцией, которая была в далеком 2017 году. В связи с чем мне бы хотелось рассказать о наиболее серьезной угрозе современных веб-приложений, которая перешла с пятого на первое место, а именно про A01:2021-Broken Access Control.

Не сомневаюсь, что все прекрасно знают о том, что авторизация предоставляет пользователю права на выполнение определённых действий, а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий. Авторизация не эквивалентна аутентификации. После успешной аутентификации авторизация определяет, к каким функциям и данным может получить доступ пользователь, обеспечивая при этом надлежащее разграничение прав доступа.

Именно поэтому веб-приложению необходимы средства контроля доступа, позволяющие его пользователям использовать веб-приложение с различными привилегиями. Контроль доступа — это применение ограничений на то, кто (или что) может выполнять различные функции и получать доступ к запрошенным ресурсам. Нарушенный контроль доступа часто встречающаяся и часто критическая уязвимость в системе безопасности. Существуют несколько типов контроля доступа, равно как и уязвимостей, связанных с их нарушением.

Читать далее
Всего голосов 1: ↑0 и ↓1 -1
Просмотры 3K
Комментарии 1

HackTheBox разбор ID Exposed. На поиски Сары. Продолжаем разбор лаборатории OSINT (Уровень: Easy)

Информационная безопасность *Читальный зал CTF *Мозг

Здравствуйте, продолжаю цикл статей по разбору OSINT EASY-уровня.

Задача
We are looking for Sara Medson Cruz's last location, where she left a message. We need to find out what this message is! We only have her email: saramedsoncruz@gmail.com

В этот раз задачка найти Сару (произносить с еврейским акцентом) по почте saramedsoncruz@gmail.com и по ее последним письмам.
Скажу сразу: ищем руками, ботов использовать не будем. Иначе как вы научитесь!?

Собственно, вся информация, что у нас есть - это электронная почта и некая информация от самой Сары.
В этот раз я попробую публиковать не уже готовые статьи с описанием проделанной работы, а попытаюсь изложить ход своих мыслей. Рассказать то, как я пришел к конкретному заключению.
Итак, нам нужно найти Сару. Если у нее Google Mail, значит, она наверняка оставляла отзывы на Google Maps. Спойлер: найдем мы ее не в Одессе.

Давайте начнем искать информацию.
Спрашиваем у Google следующее: “find location on maps gmail”

https://support.google.com/maps/answer/7326816?hl=en&co=GENIE.Platform%3DAndroid

Так, не отвлекаемся! Нам требуется найти информацию, поэтому пишем в Google
Osint: “найти локацию по имейл”. Но только на английском! Так больше вариантов найти нужное решение.

osint find location using email address

Теперь мы попадаем на видео, где человек показывает как найти ID по почте в коде страницы.
Особо впечатлительных прошу не беспокоиться! Выдохните, вдохните! Продолжаем.

Читать далее
Всего голосов 5: ↑4 и ↓1 +3
Просмотры 2.4K
Комментарии 3

Разбор HackTheBox. Прохождение лаборатории OSINT (уровень: easy)

Информационная безопасность *CTF *
Из песочницы

Добрый день Хабр! В этой статье хочу рассказать вам про свой опыт прохождения лаборатории OSINT на сайте hackthebox. В данном обзоре я решил взять разобрать одно интересное задание по OSINT.

Задание простое, оно не заставит вас страдать при поиске решения. Требуется только иметь понимание, где искать информацию.

CHALLENGE DESCRIPTION
Customers of
secure-startup.com have been recieving some very convincing phishing emails, can you figure out why?


Для поиска решения нам потребуется найти информацию, спрятанную в домене secure-startup.com.

Читать далее
Всего голосов 14: ↑11 и ↓3 +8
Просмотры 4.6K
Комментарии 8

HTB Jarvis. ROOT будет наш! #мамкинхакер

Growth Hacking *CTF *
Tutorial

Приветствую! Буквально вчера разбирал машину с HTB. Как по мне, отличный полигон по прокачке скилов в области sql инъекций, инъекций команд в командной строке, использованию метасплойта и повышению привилегий....

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 1.7K
Комментарии 2

HTB Laboratory. Знакомство с gitlab #мамкинхакер

Git *CTF *
Tutorial

В данной статье пройдемся по верхам, особо не вдаваясь в механизм работы эксплойтов. Познакомимся с "фрейворком" GitLab. Проэксплуатируем "всем" известные уязвимости.

Hack The Box

Laboratory

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 1.8K
Комментарии 0

Решение нашего задания для YauzaCTF, или рассказ о том, что делать с орочьими нулями и единицами

Блог компании НТЦ Вулкан Информационная безопасность *Реверс-инжиниринг *CTF *

С 27 по 29 августа 2021 года в онлайн-формате проходило соревнование YauzaCTF. Соревнование проводилось в формате Task-Based, принять участие могла любая команда, желающая попробовать свои силы. Участникам предстояло в течение 48 часов решить задания следующих категорий: web, reverse, PWN, forensics, crypto, OSINT, joy, hardware, pentest и emulation.

Команде Raccoon Security было предложено разработать собственное задание для соревнований. В результате мозгового штурма и нескольких дней кропотливой работы была придумана задача, условие и решение которой мы приведем в данной статье.

Предупреждение! Далее следует лонгрид про нули и единицы (в прямом смысле).

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 1.2K
Комментарии 7

Вклад авторов