Привет, Хабр! 

Это снова мы, команда Swordfish Security. Уже почти 10 лет внедряем процессы безопасной разработки и практики DevSecOps, заботимся о безопасности приложений. 

А еще Swordfish Security - давний и любимый (ну так нам хотелось бы думать) партнер конференции OFFZONE, которая проводится с 2018 года. Совсем скоро ивент состоится вновь — 25 и 26 августа 2022 года. Мы приготовили для гостей мероприятия много зажигательного и интересного. Наши спикеры тоже постарались — написали крутые и полезные доклады. А теперь переходим непосредственно к спойлерам! 

Компания «Доктор Веб» приглашает всех желающих к участию в нашем CTF-марафоне, который пройдет в онлайн-режиме: он стартует с 0:00 субботы 4 марта и завершится в 23:59 пятницы 17 марта. В рамках мероприятия участникам предстоит решить задачи по реверс-инжинирингу и анализу файлов. Мы предложим 25 заданий с 5 уровням сложности.

Привет, Хабр. Я занимаюсь поиском уязвимостей уже много лет и понял, что это глобальное и динамичное направление. Описать его в одной книге невозможно. Каждый день я получаю новые знания о технологиях, а также о недостатках в их безопасности.

Для меня основным источником знаний являются отчеты других исследователей в этой области. Читая отчеты, я нахожу для себя интересные приемы, которые в дальнейшем применяю в своей работе. Как правило, недостаточно прочитать отчет, что бы разобраться в первопричине уязвимости. Поэтому я начал моделировать ситуации, при которых может появляться описанная уязвимость. У меня начали появляться виртуальные машины с уязвимыми веб-страницами. Изначально я публиковал их в своем телеграм-канале, но это не удобно, поскольку образы виртуальных машин весят от 1GB. Людям приходилось скачивать образ и устанавливать его в VirtualBox.

В связи с этим было принято решение разработать портал, где пользователи смогут запускать виртуальные машины с уязвимыми страницами по щелчку мышки.
Спустя долгие месяцы разработки я рад представить сайт hackerhub.pro. На сайте вы можете запускать виртуальные машины и взламывать. Задания предоставляются в формате CTF, где при успешном взломе вы получаете флаг. Во время отправки флага вам предлагается указать сложность виртуальной машины, что будет полезно другим пользователям.

Сайт готов к использованию, но впереди еще много работы. Поскольку на сайте нет платного контента, я буду очень благодарен за материальную помощь в развитии ресурса.

Hello, Habr. I have been involved in vulnerability research for many years and have realized that it is a global and dynamic field. It's impossible to describe it in just one book. Every day, I gain new knowledge about technologies, as well as their security flaws.

For me, the main source of knowledge is reports from other researchers in this field. When reading reports, I find interesting techniques that I later apply in my work. Usually, it's not enough to just read the report to understand the root cause of a vulnerability. That's why I started simulating situations in which the described vulnerability may appear. I began creating virtual machines with vulnerable web pages. Initially, I published them in my Telegram channel, but it was inconvenient since virtual machine images weigh around 1GB. People had to download the image and install it in VirtualBox.

Therefore, it was decided to develop a portal where users could run virtual machines with vulnerable pages with just one click. After many months of development, I am pleased to introduce the website hackerhub.pro. On the website, you can run virtual machines and hack them. Tasks are provided in the CTF format, where you receive a flag upon successful hack. When submitting a flag, you are offered to specify the difficulty of the virtual machine, which will be helpful to other users.

The website is ready for use, but there is still much work ahead. Since there is no paid content on the website, I would be very grateful for material support in developing the resource.

Мы подвели итоги CTF-марафона, проходившего с 4 по 17 марта, — и поговорили с победителями, чтобы узнать, какие впечатления у них оставил марафон.

Abstract

Что такое CTF?