في ديسمبر ، دعت OTUS ، بدعم من VolgaCTF و CTF موسكو ، كل شخص قريب من أمن المعلومات إلى مسابقة عبر الإنترنت للعثور على نقاط الضعف. تعلم المزيد وسجل هنا . في غضون ذلك ، سنخبرك المزيد عن التنسيق والمشاركة ، ونتذكر أيضًا كيف سار الحدث في عام 2019.
شكل
يشير الاختصار CTF إلى Capture the flag. هناك نوعان من هذه المسابقات:
- هجوم الدفاع ، حيث تحصل الفرق على الخادم أو الشبكة الخاصة بهم ويجب أن تضمن عملها. تتمثل المهمة في تسجيل أكبر عدد ممكن من النقاط للدفاع أو المعلومات المسروقة ("الأعلام") من الفرق المتعارضة.
- قائم على المهام ، حيث يتلقى كل مشارك مجموعة من المهام ويجب عليه إرسال الحلول في غضون الوقت المخصص. يمكن أن تكون الإجابة ، المعروفة أيضًا باسم العلم ، مجموعة أحرف أو عبارة.
يتم تنظيم مسابقات CTF الخاصة بنا في شكل مستند إلى المهام .
كيف كانت العام الماضي؟
في عام 2019 ، شارك 217 شخصًا. كان على المشاركين حل 9 مهام ، ثلاثة في كل اتجاه: الهندسة العكسية واختبار الاختراق وأمان Linux. استغرق الأمر 5 ساعات حتى يكتمل.
المهام لها مستويات مختلفة من الصعوبة ، وبالتالي التكلفة بالنقاط. في المرة الأخيرة ، تم قبول 40٪ فقط من الإجابات المرسلة. نقدم أمثلة على حل مهام العام الماضي:
1. الهندسة العكسية
مهام إلغاء ترجمة الكود ، واستعادة منطق البرنامج باستخدام رمز منخفض المستوى حصريًا ، والبحث في تشغيل تطبيقات الهاتف المحمول.
مثال على المهمة
الاسم: Bin
Points: 200
الوصف:
هذه المرة صادفنا ملفًا ثنائيًا. المهمة هي نفسها ، للحصول على كلمة المرور السرية.
المرفقات:
حل المهمة :
إعطاء ملف ثنائي. قم بتحميله في المفكك وشاهد ست وظائف اختبار مكتوبة بلغة C ++.
إنها مصنوعة بشكل متماثل ويتم استدعاؤها في بعضها البعض ، والتحقق من العلم في أجزاء من 5 عناصر.
نقوم باستعادة خطوة بخطوة باستخدام المعلومات من المفكك. نتلقى العلم في أجزاء:
0) تحقق من الطول
1) العلم {
2) feefa
3) _172a
4) k14sc
5) _eee}
ادمج واحصل على العلم:
العلم {feefa_172ak14sc_eee}
2. Pentest
يبحث المشاركون عن نقاط الضعف في مواقع الويب باستخدام طرق اختبار الاختراق.
مثال على
اسم المهمة : قواعد البيانات
النقاط: 100
الوصف: الموقع يستخدم قواعد البيانات بنشاط. جرب حقن SQL.
رابط الموقع: 193.41.142.9 : 8001 / متجر / تسجيل الدخول
الحل:
انتقل إلى القسم الرئيسي من المتجر / المتجر / المنتجات / ، بدس في حقل البحث ، نجد حقنة sql.
أدخل 1 "OR" 1 "=" 1 "- ، قم بالتمرير لأسفل
وشاهد المنتج الغائب سابقًا ، العلم موجود في وصفه.
3. أمن Linux + أمان التطوير
تهدف المهام إلى التحقق من صحة تكوين الخادم وإيجاد الأخطاء في تطوير البرامج.
: Algo
: 50
: . safe development. . : 666c61677b32646733326473323334327d. .
.
: 193.41.142.9:8002/
: task.7z
:
. , , .
Python:
import binascii binascii.unhexlify ("666c61677b32646733326473323334327d") نحصل على
العلم: العلم {2dg32ds2342}
يمكنك مشاهدة جميع مهام CTF-2019 هنا .
ماذا سيحدث هذا العام؟
لقد أضفنا التخصص الرابع "أمان تطبيق الويب". لمدة 6 ساعات ، سيتعين على المشاركين حل 12 مهمة - 3 في كل اتجاه.
المواعيد والجوائز
ستقام المسابقة في 5 ديسمبر من الساعة 10 صباحًا حتى 16. وفي كل فئة من الفئات: الهندسة العكسية واختبار الاختراق وأمن Linux وأمن تطبيقات الويب ، يتم تحديد الفائزين.
التسجيل مفتوح حتى 4 ديسمبر حتى 7:45 مساءً
الجوائز الرئيسية - تدريب مجاني في دورات OTUS حول أمن المعلومات - ستذهب إلى أولئك الذين هم أول من حل جميع المشكلات الثلاثة بشكل صحيح في إحدى الفئات. أولئك الذين يحتلون المركزين الثاني والثالث سيحصلون على خصومات حصرية على الرسوم الدراسية. وبالطبع ، سيحصل جميع المشاركين على معرفة جديدة ومتعة في حل المشكلات وخصم إضافي بنسبة 10٪.
في يومي 8 و 10 كانون الأول (ديسمبر) ، سيعقد المنظمون والمعلمون ندوات خاصة عبر الإنترنت ، حيث سيقومون بتلخيص النتائج وتحليل حلول المشكلات وإبلاغك أيضًا بالمزيد عن دوراتنا.
من يمكنه المشاركة في مسابقة CTF؟
الحدث مفتوح لجميع المهتمين بشكل أو بآخر بأمن المعلومات.
اريد معرفة المزيد؟ ثم ننتظرك في ندوة الويب التمهيدية في 3 ديسمبر الساعة 20:00 ، حيث سنخبرك بجميع الشروط ونجيب على أسئلتك. قم بالتسجيل حتى لا يفوتك البث .