Презентация субботней встречи, посвященной введению в CTF-соревнования.

https://docs.google.com/presentation/d/1IsiJMD4EB1NSH9rwBsnGaM7sKZKU0xJx0IH7bq1ZbD4/edit?usp=sharing

P.S. Мы также набираем в команду новых участников. Если вы учитесь в МГТУ, ранее играли в CTF и хотите вступить в SFT0, то пишите @drakylar или @iGesp

P.P.S. Ожидайте анонса встречи на среду - продолжение введения в веб-безопасность.

💻 Web-безопасность часть 2

Самые громкие кибератаки происходят в сети Интернета. Уязвимости сайтов и веб-приложений могут позволить злоумышленнику получить доступ к данным пользователей, в числе которых и мы с вами

Предыдущая лекция была посвящена HTTP и взаимодействию с пользователями. Вторая часть будет посвящена уже обработке HTTP-запросов на серверной стороне.

❓На лекции поговорим на следующие темы:

🔸веб-сервера

🔸бэкенд языки программирования

🔸базы данных и атаки на них

Лекция пройдет 23 ноября 2022 в 19:10 в 501ю

Регистрация по ссылке:
https://forms.yandex.ru/u/63793e9690fa7b7f03d75c67/
Регистрация до утра вторника

P.S. Те, кто был на предыдущей части лекции могут не регистрироваться

🧑‍💻 Занятие проводит:
Илья Шапошников
Капитан команды sft0

Разбор заданий с Кубка CTF 2022 (Суббота)

На встрече мы предварительно рассмотрим задания по вебу, криптографии и форензике с недавних соревнований "Кубок CTF 2022".

ВАЖНО! Мы планируем еженедельно проводить такие встречи по субботам в МГТУ, поэтому тем, кто не из МГТУ, ТРЕБУЕТСЯ заполнить следующую гуглоформу ДО ЧЕТВЕРГА! (иначе на ближайшую встречу вам не попасть). Повторно заполнять с предыдущей недели не требуется, это та же форма.

Тема: Разбор заданий с Кубка CTF 2022
Когда: 26 ноября в 16:30 - 19:00
Где: Главное Здание, аудитория НОЦ ИБ
Лектор: SFT0(@drakylar, @Lam0Rka, @kosten_competition, @keyowww) + см. P.S
Возможно ли посмотреть онлайн: планируется настроить стрим на нашем дискорд-сервере YauzaCTF (но это не точно).
Кто может посетить: у кого есть уже пропуск в МГТУ + те, кто успеют заполнить прикрепленную гуглоформу ДО ЧЕТВЕРГА! Повторно заполнять с предыдущей недели не требуется, это та же форма.
Регистрация : https://forms.gle/UENPJGbre79AxQ6p6

P.S. Если вы тоже хотите попрактиковаться в выступлениях и рассказать про решение какого то таска с кубка в эту субботу, то напишите мне в лс - @drakylar.

###############################################

Общая информация
Дискорд-сервер: https://discord.gg/2qHX8NNtGm ВАЖНО! Как добавитесь на сервер, скиньте мне в лс (@drakylar) ваш логин дискорда, чтобы я выдал вам права слушателя.
ВК-группа: https://vk.com/bmstu_ctf
Телеграм-канал: https://news.1rj.ru/str/SFT0_team
ВК-чат: (инвайт запрашивать у https://vk.com/drakylar)

Презентация второй встречи по введению в веб-безопасность.

https://docs.google.com/presentation/d/170zIAQ4Ma5uF3reMLdPJTlFl5SiWRW2CZhSKBISTmrY/edit?usp=sharing

P.S. Начинается на 90 слайде.

Презентация с разбором некоторых тасков (веб, крипта, форенсика) с кубка CTF 2022.

https://docs.google.com/presentation/d/1Dcd9wpm8PqnAcSoEewwU_VQusQ_gFbrShvbzyOlFi0w/edit?usp=share_link

Оригинальные райтапы от разработчиков соревнований: https://github.com/acisoru/ctfcup22-quals

Анонс встречи в эту субботу, посвященную SQL-иньекциям!

На ней мы рассмотрим, что такое SQL (с основ) и дойдем до эксплуатации SQL-иньекций. Если успеем, то также рассмотрим особенности эксплуатации в различных базах данных.

Тема: SQL injections
Когда: 3 декабря в 16:30 - 19:00
Где: Главное Здание, аудитория НОЦ ИБ
Будет ли стрим: да, сервер https://discord.gg/2qHX8NNtGm + написать @drakylar чтобы выдал роль там
Лектор: SFT0(@drakylar)
Регистрация: https://forms.gle/UENPJGbre79AxQ6p6 (до вечера четверга, второй раз регистрироваться не нужно)

P.S. Также не забывайте про чат в вк - пишите для добавления.

Презентация первой части лекции по SQL-иньекциям.

В следующий раз больше упор сделаем на практику + по второй части презентации. Слушателям просьба просмотреть презентацию и подготовить список вопросов тк дальше будет сложнее.

https://docs.google.com/presentation/d/1AenC1g2bJsna3FKYj3_GWkMrzAK2zn_-BGjEEcblW9Q/edit?usp=sharing

Анонс второй части встречи по SQL-иньекциям!

На ней мы рассмотрим, что такое SQL (с основ) и дойдем до эксплуатации SQL-иньекций. Если успеем, то также рассмотрим особенности эксплуатации в различных базах данных.

Тема: SQL injections
Когда: 10 декабря в 16:30 - 19:00
Где: Главное Здание, аудитория НОЦ ИБ
Будет ли стрим: да, сервер https://discord.gg/2qHX8NNtGm + написать @drakylar чтобы выдал роль там
Лектор: SFT0(@drakylar)
Регистрация: https://forms.gle/UENPJGbre79AxQ6p6 (до вечера четверга, второй раз регистрироваться не нужно)

P.S. Также не забывайте про чат в вк - пишите для добавления.

Прикрепляю фулл презентации 2 частей по SQL-иньекциям: https://docs.google.com/presentation/d/16iPSB7YaO-Lpe3tdT6qONdR0VeJZsZ70EpvTAPdDOVk/edit?usp=sharing

Также сегодня мы немного поразбирали лабораторию http://sql.training.hackerdom.ru/ , так что прикрепляю текстовой файл с решением всех уровней, но советую в начале самостоятельно попытаться прорешивать их.

P.S. Последний комментарий - на лекции запросили домашнее задание попрактиковаться дома, поэтому для самостоятельной практики советую вам изучить еще раз SQL injection на таких сайтах как PortSwigger и разобрать несколько райтапов с CTF-соревнований + идти в сторону поиска этой уязвимости в исходном коде (примеры заданий с классических CTF-соревнований).

🕵️ Fast Track: расследование киберпреступлений

В текущих реалиях преступность в сфере информационных технологий является одной из ключевых угроз безопасности для компаний. Число киберпреступлений с каждым днем увеличивается, но и меры противодействия не перестают совершенствоваться.

Как происходит расследование киберпреступления, какие методы экспертизы существуют и многое другое вы узнаете на следующей лекции Fast Track

❓Какие темы будут рассмотрены на занятии?

🔺 процесс расследования инцидентов

🔺 Malware, DDoS, кража криптовалюты и другие киберпреступления

🔺 методы OSINT

🔺 карьера кибердетектива

Лекция пройдет 14 декабря в 19:10 в 501ю

📌Регистрация доступна до утра вторника по ссылке:

https://forms.yandex.ru/u/6395d997eb6146ed4cee615e/

🧑‍💻Занятие проводит:
Pandora
Участник команды SFT0
Cyber Crime Investigator

Привет! На связи Pandora.

Вместо субботнего занятия предлагаю вам посетить мое выступление на очередном OSINT mindset meetup! Оно пройдёт также в субботу в 14:00 в СМЕНА 2.0.

Речь пойдет про мифы, которыми окутано OSINT-сообщество, и почему это мешает тем, кто пытается развиваться в OSINT и смежных областях. Обещаю, что скучно не будет!

Можно будет присоединиться очно и онлайн.

Все пароли, явки и адреса можно найти здесь.

Анонс встречи в эту субботу, посвященную введению в форензику!

На ней мы рассмотрим, что такое форензика. Расскажем про задания на CTF, а также рассмотрим реальные кейсы. Занятие рассчитано на людей, которые до этого не сталкивались с компьютерной криминалистикой.

Лектор: SFT0(@kosten_competition)
Тема: Введение в форензику
Когда: 24 декабря в 16:30 - 19:00
Где: Главное Здание, аудитория НОЦ ИБ
Будет ли стрим: да, сервер https://discord.gg/2qHX8NNtGm + написать @drakylar чтобы выдал роль там
Регистрация: https://forms.gle/UENPJGbre79AxQ6p6 (до вечера четверга, второй раз регистрироваться не нужно)

Презентация и материалы встречи по форензике.

Презентация: https://docs.google.com/presentation/d/1BS0nYJR3U2B9cXXQ1c50bTjitphNfQzxRXDQaPIdrTw/edit?usp=drivesdk

Volatility commands:
https://blog.onfvp.com/post/volatility-cheatsheet/
https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/memory-dump-analysis/volatility-cheatsheet

Врайт-ап по таску, который разбирал на уроке
https://mmox.me/posts/writeups/memlabs-lab2/

Фотография участника нашей команды такая же популярная, как обсуждение кадрового голода в IT-отрасли.

Никита, держись!

Дефицит разработчиков в России оценили в 500-700 тысяч человек

Глава Минцифры Максут Шадаев отметил, что количество сотрудников в российских ИТ-компаниях «за прошлый год» увеличилось на 13% и достигло 740 тысяч