Pada bulan Desember, OTUS, dengan dukungan VolgaCTF dan CTF. Moskow, mengundang semua orang yang dekat dengan keamanan informasi ke kompetisi online untuk menemukan kerentanan. Pelajari lebih lanjut dan daftar di sini . Sementara itu, kami akan memberi tahu Anda lebih banyak tentang format dan partisipasinya, dan juga mengingat bagaimana acara di tahun 2019.
Format
Singkatan CTF adalah singkatan dari Capture the flag. Ada 2 format kompetisi tersebut:
- Pertahanan serangan , di mana tim mendapatkan server atau jaringan mereka dan harus memastikan fungsinya. Tugasnya adalah untuk mencetak poin sebanyak mungkin untuk pertahanan atau informasi yang dicuri ("bendera") dari tim lawan.
- Berbasis tugas, di mana setiap peserta menerima sekumpulan tugas dan harus mengirimkan solusi dalam waktu yang ditentukan. Jawabannya, alias bendera, bisa berupa kumpulan karakter atau frasa.
Kompetisi KKP kami diatur dalam format berbasis tugas .
Bagaimana tahun lalu?
Pada 2019, 217 orang ambil bagian. Para peserta harus menyelesaikan 9 tugas, tiga di setiap arah: rekayasa balik, pengujian penetrasi, dan keamanan Linux. Butuh 5 jam untuk menyelesaikannya.
Tugas memiliki tingkat kesulitan yang berbeda dan, karenanya, biaya dalam poin. Terakhir kali, hanya 40% jawaban yang dikirim diterima. Berikut adalah contoh menyelesaikan tugas tahun lalu:
1. Rekayasa terbalik
Tugas untuk mendekompilasi kode, memulihkan logika program menggunakan kode tingkat rendah secara eksklusif, meneliti pengoperasian aplikasi seluler.
contoh tugas
Nama: Bin
Poin: 200
Deskripsi:
Kali ini kami menemukan file biner. Tugasnya sama, mendapatkan kata sandi rahasia.
Lampiran: tugas
Solusi:
Diberikan file biner. Masukkan ke dalam disassembler dan lihat enam fungsi pemeriksaan yang tertulis dalam C ++.
Mereka dibuat identik dan dipanggil satu sama lain, memeriksa bendera dalam 5 elemen.
Kami memulihkan langkah demi langkah menggunakan informasi dari disassembler. Kami menerima bendera di beberapa bagian:
0) periksa panjang
1) bendera {
2) feefa
3) _172a
4) k14sc
5) _eee}
Gabungkan dan dapatkan bendera:
bendera {feefa_172ak14sc_eee}
2. Pentest
Peserta mencari kerentanan di situs web menggunakan metode pengujian penetrasi.
contoh tugas
Nama: Database
Poin: 100
Keterangan: Situs ini aktif menggunakan database. Coba SQL Injection.
Link ke situs: 193.41.142.9 : 8001 / shop / login
Solusi:
Pergi ke bagian utama toko / toko / produk /, masuk ke kolom pencarian, kami menemukan injeksi sql.
Masukkan 1 "ATAU" 1 "=" 1 "-, gulir ke bawah dan lihat produk yang sebelumnya tidak ada, benderanya ada dalam deskripsinya.
Bendera: bendera {5ql_1nject10n_15_t00_51mpl3_f0r_y0u}
3. Keamanan Linux + keamanan pengembangan
Tugas tersebut bertujuan untuk memeriksa kebenaran konfigurasi server dan menemukan kesalahan dalam pengembangan perangkat lunak.
: Algo
: 50
: . safe development. . : 666c61677b32646733326473323334327d. .
.
: 193.41.142.9:8002/
: task.7z
:
. , , .
Python:
import binascii binascii.unhexlify ("666c61677b32646733326473323334327d")
Kami mendapatkan flag: flag {2dg32ds2342}
Anda dapat melihat semua tugas KKP-2019 di sini .
Apa yang akan terjadi tahun ini?
Kami telah menambahkan disiplin ke-4 "Keamanan Aplikasi Web". Selama 6 jam, peserta harus menyelesaikan 12 tugas - 3 di setiap arah.
Tanggal dan hadiah
Kompetisi akan berlangsung pada 5 Desember dari pukul 10 pagi hingga 16 Desember. Di setiap kategori: rekayasa balik, pengujian penetrasi, keamanan Linux, dan keamanan aplikasi web, pemenang ditentukan.
Pendaftaran dibuka hingga 4 Desember hingga 19:45
. Hadiah utama - pelatihan gratis kursus OTUS tentang keamanan informasi - akan diberikan kepada mereka yang menjadi yang pertama menyelesaikan semua 3 masalah dengan benar di salah satu kategori. Mereka yang mengambil tempat kedua dan ketiga akan menerima diskon eksklusif untuk uang sekolah. Dan tentunya, seluruh peserta akan mendapatkan ilmu baru, kesenangan dalam memecahkan masalah dan bonus diskon 10%.
Pada 8 dan 10 Desember, penyelenggara dan pengajar akan mengadakan webinar khusus, di mana mereka akan merangkum hasil, menganalisis solusi masalah, dan juga memberi tahu Anda lebih banyak tentang kursus kami.
Siapa yang dapat berpartisipasi dalam kompetisi CTF?
Acara ini terbuka untuk semua orang yang kurang lebih tertarik dengan keamanan informasi.
Ingin tahu lebih banyak? Kemudian kami menunggu Anda di webinar pengantar pada 3 Desember pukul 20:00, di mana kami akan memberi tahu Anda tentang semua kondisi penyelenggaraan dan menjawab pertanyaan Anda. Daftarlah agar Anda tidak ketinggalan siaran .