Кстати, на olymp.ruc.tf всё ещё можно порешать задания отборочного тура, только теперь сданные флаги не влияют на скорборд. Все сервисы подняты и работают.
Мы уже опубликовали программу конференции на https://RuCTF.org/ru/events и с понедельника расскажем вам подробнее обо всех докладчиках. А пока коротко: много про веб от докладчиков из Digital Security, Mail.ru и c00kies, социальная инженерия от пранкера Лексуса, железные уязвимости от Егора Xarlan Литвинова и Hardware Village, немного об упрощении работы с Hex Rays от Groke, замочки в Lockpick-секции и квесты в HackZone, нетехнические доклады от Дмитрия Склярова из Positive Technologies и Сергея Краснова из УЦСБ. И конечно, традиционные баттлы и дискуссия о будущем CTF в России!
Кстати, вы знаете Влада Роскова? А знаете ли вы, почему в 2017 году он пришёл на баттлы под именем Аркадий? Мы не знаем. Но знаем, что бейдж — это удобная штука, которая позволяет сразу обращаться к человеку по имени. В течение всего времени конференции бейдж наблюдателя можно получить на входе в Технопарк, но чтобы ускорить процесс получения, мы открыли предварительную регистрацию. Это удобно: уже сейчас можно ввести свои данные и на входе только показать штрих-код и получить бейдж: https://RuCTF.org/registration
Дмитрий Скляров подготовил рассказ-обзор «20 лет в информационной безопасности». В докладе он расскажет о том, как, с точки зрения исследователя, менялся мир информационной безопасности в последние 20 лет.
Дмитрий уже много лет подряд выступает на нашей конференции. На данный момент он является руководителем отдела анализа приложений Positive Technologies, известен своей разработкой алгоритма программы Advanced eBook Processor, выпущенной московской фирмой «Элкомсофт» и предназначенной для создания резервных копий защищенных электронных книг в формате Adobe PDF.
Дмитрий уже много лет подряд выступает на нашей конференции. На данный момент он является руководителем отдела анализа приложений Positive Technologies, известен своей разработкой алгоритма программы Advanced eBook Processor, выпущенной московской фирмой «Элкомсофт» и предназначенной для создания резервных копий защищенных электронных книг в формате Adobe PDF.
Во второй день конференции Сергей Краснов, руководитель направления Анализа защищенности УЦСБ, выступит с докладом «Работа команды пентеста».
Он расскажет о буднях пентестера: с какими проблемами тот сталкивается, что прикольного в его работе. И ответит на главный вопрос: зачем всем этим заниматься?
Формат доклада — ряд интересных историй из жизни с техническими подробностями и прочими инсайдерскими деталями!
Он расскажет о буднях пентестера: с какими проблемами тот сталкивается, что прикольного в его работе. И ответит на главный вопрос: зачем всем этим заниматься?
Формат доклада — ряд интересных историй из жизни с техническими подробностями и прочими инсайдерскими деталями!
Приходите и будьте готовы задавать вопросы!
А чтобы получить бейдж и попасть в Технопарк быстрее, регистрируйтесь заранее на https://RuCTF.org/registration
А чтобы получить бейдж и попасть в Технопарк быстрее, регистрируйтесь заранее на https://RuCTF.org/registration
Продолжаем знакомство! В первый день конференции о безопасности в вебе расскажут Денис Рыбин и Илья Булатов из Digital Security.
В рамках доклада «Обзор полезных плагинов Burp Suite и прочие тонкости использования Burp, позволяющие не писать лишних скриптов на коленке» Денис покажет, как эффективно использовать Burp Suite в 2019 году, мельком пройдется по базовой функциональности и углубится в наиболее интересные, на его взгляд, свежие плагины.
За время доклада вы узнаете, какие полезные проверки покрывают затронутые плагины, как позволяют оптимизировать работу с поверхностью атаки, а также какие недостатки, которые стоит держать в голове, имеют.
За время доклада вы узнаете, какие полезные проверки покрывают затронутые плагины, как позволяют оптимизировать работу с поверхностью атаки, а также какие недостатки, которые стоит держать в голове, имеют.
Сразу после Дениса выступит Илья с докладом «От утечки памяти до выполнения кода, к чему может привести небезопасная обработка медиафайлов».
Доклад посвящен разбору атак на веб-приложения, обрабатывающие медиа-файлы. Вы узнаете к чему приводит небезопасная обработка изображений, видео/аудио-файлов, документов и архивов, а также увидите примеры эксплуатации уязвимостей в обработке медиа-файлов и известные кейсы самых громких уязвимостей.
Будут рассмотрены XXE-атаки в XML-документах, почему ImageMagick и ffmpeg это дыры безопасности, атаки через MetaData медиа-файлов, инструменты для эксплуатации уязвимостей в обработке медиа-файлов.
Доклад посвящен разбору атак на веб-приложения, обрабатывающие медиа-файлы. Вы узнаете к чему приводит небезопасная обработка изображений, видео/аудио-файлов, документов и архивов, а также увидите примеры эксплуатации уязвимостей в обработке медиа-файлов и известные кейсы самых громких уязвимостей.
Будут рассмотрены XXE-атаки в XML-документах, почему ImageMagick и ffmpeg это дыры безопасности, атаки через MetaData медиа-файлов, инструменты для эксплуатации уязвимостей в обработке медиа-файлов.
После обеда они переместятся в аудиторию 2077 с докладами «Эксплуатация SSRF с комфортом» и «Уязвимости десериализации и их эксплуатация в различных языках программирования», а также сессией вопросов и ответов и небольшой викториной по темам докладов.
До RuCTF неделя! Сегодня расскажем вам о том, что информационная безопасность — это не только веб, криптография, ревёрс, расследование инцидентов, социальная инженерия и пентест, но и очень много разного железа! Самые «железные» доклады в подборке от Alex-EXE.ru
https://teletype.in/@ructf/B1Gb5OPcN
https://teletype.in/@ructf/B1Gb5OPcN
Teletype
RuCTF 2019: низкоуровневая безопасность
До RuCTF неделя! Самые «железные» доклады в подборке от Alex-EXE.ru
Что происходит, когда вы набираете google.com в браузере и нажимаете Enter? А что происходит, когда вы нажимаете кнопку «Sign in with Google» в браузере? Двое наших докладчиков — Мауро Темпеста из команды bacaro_tour и Никита Ступин из Mail.ru — прекрасно знают ответ на второй вопрос. Никита расскажет об узявимостях OAuth 2.0 на мобильных устройствах, а также покажет самые распространенные и критичные уязвимости обычного OAuth 2.0, механизмы защиты и типичные ошибки разработчиков. Мауро представит WPSE — браузерный монитор безопасности для веб-протоколов, который помогает предотвращать атаки на OAuth и SAML и находить уязвимости в разных реализациях OAuth и его аналогов.
Если что, ответ на первый вопрос тут: https://github.com/alex/what-happens-when
А зарегистрироваться на конференцию можно тут: https://ructf.org/registration/
Если что, ответ на первый вопрос тут: https://github.com/alex/what-happens-when
А зарегистрироваться на конференцию можно тут: https://ructf.org/registration/