Пора тренироваться!
Друзья, мы подняли для вас платформу для тренировок, на ней переодически будут появляться как задачки с прошлых годов, так и новые таски 🚩
Например, сейчас мы выложили первые задания для самых маленьких в рамках обучения в КибХак Школе CTF. Скорее беги смотреть!
Тык.
Друзья, мы подняли для вас платформу для тренировок, на ней переодически будут появляться как задачки с прошлых годов, так и новые таски 🚩
Например, сейчас мы выложили первые задания для самых маленьких в рамках обучения в КибХак Школе CTF. Скорее беги смотреть!
Тык.
❤13
Огромное спасибо всем, кто пришел сегодня на занятие! Вы классная публика!❤️
К следующему занятию постараемся получше подстроиться под ваш уровень навыков, для этого, пожалуйста, дайте небольшой фидбек по сложности и вашей вовлеченности.
P.S. Таски поднимем в ближайшее время, все смогут еще раз попробовать их решить и сдать флаги) Также добавим несколько заданий с прошлых лет CybHack CTF
К следующему занятию постараемся получше подстроиться под ваш уровень навыков, для этого, пожалуйста, дайте небольшой фидбек по сложности и вашей вовлеченности.
P.S. Таски поднимем в ближайшее время, все смогут еще раз попробовать их решить и сдать флаги) Также добавим несколько заданий с прошлых лет CybHack CTF
❤22
Переподняли тасочки
Если опять отвалятся, пингуйте!
Ну и совет вам - на питоне не пишите, развалится...
Если опять отвалятся, пингуйте!
Ну и совет вам - на питоне не пишите, развалится...
😁8
Forwarded from MEPhI CTF (Pavel Blinnikov)
16 марта стартует NeoQUEST - индивидуальный CTF, проводимый с 2012 года Питерским Политехом!
NeoQUEST содержит два трека – для взрослых и для школьников
Все победители получат призы, подарки, почет и уважение! Победителей взрослого трека организаторы пригласят на оффлайн-этап в Санкт-Петербурге в сентябре.
NeoQUEST содержит два трека – для взрослых и для школьников
Все победители получат призы, подарки, почет и уважение! Победителей взрослого трека организаторы пригласят на оффлайн-этап в Санкт-Петербурге в сентябре.
ВКонтакте
NeoQUEST
🦉NeoQUEST - ежегодное мероприятие, посвященное вопросам кибербезопасности, которое традиционно проходит в два этапа: 📌 online-этап – удаленное индивидуальное CTF-соревнование, проходящее в течение двух недель во второй половине марта; 🧠 +5 баллов к результатам…
❤4
Всем доброго вечера!
Хотелось бы сказать несколько моментов:
1) Пишите тут в чатик по любому возникшему вопросу (даже если вам кажется, что он совсем глупый и простой), комунити у нас доброе: поможем, расскажем, покажем.
2) Если у кого-то есть то, что он хотел бы узнать на следующем занятии по ВЭБУ (или что-то не понял с предыдущего занятия и хочет, чтобы мы повторили это еще разок), опять же вэлкам либо в чатик либо в коменты к этому посту. Сильно постраемся включить ваши пожелания в нашу программу :)
P.S
Следующее занятие по web'чику пройдет в субботу 16.02 в 18.00
Хотелось бы сказать несколько моментов:
1) Пишите тут в чатик по любому возникшему вопросу (даже если вам кажется, что он совсем глупый и простой), комунити у нас доброе: поможем, расскажем, покажем.
2) Если у кого-то есть то, что он хотел бы узнать на следующем занятии по ВЭБУ (или что-то не понял с предыдущего занятия и хочет, чтобы мы повторили это еще разок), опять же вэлкам либо в чатик либо в коменты к этому посту. Сильно постраемся включить ваши пожелания в нашу программу :)
P.S
Следующее занятие по web'чику пройдет в субботу 16.02 в 18.00
👍8❤5
ГДЕ можно поближе познакомиться с веб-тасками и порешать их:
1. https://tryhackme.com/ - тут очень много хорошей теории про Linux, основные уязвимости, разные способы эксплуатации этих уязвимостей и защиты от них.
2. https://portswigger.net - тут также есть объяснение того, как работают веб-уявзимости, но главное что тут огромное колличество лаб на абсолютно разные темы. Если нужна практика по вебу - must seen
3. https://app.hackthebox.com - отличная платформа для практики. Большое колличество, как и black box (без исходного кода) машин, так и white box (с исходным кодом).
4. https://vk.com/@spbctf-ctf-for-beginners - тут и теория, и практика для самых маленьких.
#learn
1. https://tryhackme.com/ - тут очень много хорошей теории про Linux, основные уязвимости, разные способы эксплуатации этих уязвимостей и защиты от них.
2. https://portswigger.net - тут также есть объяснение того, как работают веб-уявзимости, но главное что тут огромное колличество лаб на абсолютно разные темы. Если нужна практика по вебу - must seen
3. https://app.hackthebox.com - отличная платформа для практики. Большое колличество, как и black box (без исходного кода) машин, так и white box (с исходным кодом).
4. https://vk.com/@spbctf-ctf-for-beginners - тут и теория, и практика для самых маленьких.
#learn
👍13❤1
Как вам сегодняшнее занятие?
Anonymous Poll
9%
Взрыв мозга, ничего не понял😑
19%
Многое понял, но не все
27%
Понял все, в самый раз по сложности
7%
Было слишком просто, давайте сложнее
0%
Не понравилось, больше не приду
39%
Не ходил
👍5
Summary вчерашнего занятия
1. Поговорили про слабые варианты защиты от Path Traversal
2. Разобрали сложное задание с прошлого года CybHack CTF. Само задание все еще доступно на нашей платформе. (Для решения вам может понадобиться интересная статейка про flask-unsign)
3. Поговорили про самую распространенную Client-Side уязвимость XSS (Cross-Site-Scripting)
4. Познакомились с платформой PortSwigger и решили несколько лабораторных работ оттуда - разобрали SSRF и логические уязвимости приложений. (Данная платформа считается самой лучшей для вкатывания в информационную безопасность веб-приложений, так что дерзайте, там очень много лаб.-. p.s. если будут вопросы по лабам, можете смело писать нам)
#summary #learn
1. Поговорили про слабые варианты защиты от Path Traversal
2. Разобрали сложное задание с прошлого года CybHack CTF. Само задание все еще доступно на нашей платформе. (Для решения вам может понадобиться интересная статейка про flask-unsign)
3. Поговорили про самую распространенную Client-Side уязвимость XSS (Cross-Site-Scripting)
4. Познакомились с платформой PortSwigger и решили несколько лабораторных работ оттуда - разобрали SSRF и логические уязвимости приложений. (Данная платформа считается самой лучшей для вкатывания в информационную безопасность веб-приложений, так что дерзайте, там очень много лаб.-. p.s. если будут вопросы по лабам, можете смело писать нам)
#summary #learn
❤13
Лекция
Также хотим напомнить, что сегодня в 17.00 Леша проведет для вас лекцию в нашем дискорде. В ней он немножко отойдет от CTF и интересно расскажет вам, как работают сети и каким образом компьютеры взаимодействуют друг с другом. Обязательно приходите, Леша очень крутой рассказчик!
#event
Также хотим напомнить, что сегодня в 17.00 Леша проведет для вас лекцию в нашем дискорде. В ней он немножко отойдет от CTF и интересно расскажет вам, как работают сети и каким образом компьютеры взаимодействуют друг с другом. Обязательно приходите, Леша очень крутой рассказчик!
#event
🔥12
Курс
Совершенно забыл вам рассказать про курс ugractf, где вкратце рассказано про все категории тасков, которые вы можете встретить на реальных ctf. В нем присутствуют и практические задания, так что сможете сразу и попрактиковаться, начав с простого
P.S. Сам с него начинал когда-то оч давно, так что действительно советую для старта в мире флагов
#learn
Совершенно забыл вам рассказать про курс ugractf, где вкратце рассказано про все категории тасков, которые вы можете встретить на реальных ctf. В нем присутствуют и практические задания, так что сможете сразу и попрактиковаться, начав с простого
P.S. Сам с него начинал когда-то оч давно, так что действительно советую для старта в мире флагов
#learn
❤8
JWT
На занятии говорили с вами о сессионных куки фласка, однако это не единственный способ для авторизации пользователей в веб-приложении. Один из них - JWT (json web token). С его помощью можно хранить информацию о пользователе на стороне клиента, не задействуя при этом никаких ресурсов для хранения этих токенов (как это реализовано в flask). Советую почитать статейку о том, как они работают, ибо это очень часто встречающаяся технология на CTF.
#learn
На занятии говорили с вами о сессионных куки фласка, однако это не единственный способ для авторизации пользователей в веб-приложении. Один из них - JWT (json web token). С его помощью можно хранить информацию о пользователе на стороне клиента, не задействуя при этом никаких ресурсов для хранения этих токенов (как это реализовано в flask). Советую почитать статейку о том, как они работают, ибо это очень часто встречающаяся технология на CTF.
#learn
Хабр
Пять простых шагов для понимания JSON Web Tokens (JWT)
Представляю вам мой довольно вольный перевод статьи 5 Easy Steps to Understanding JSON Web Tokens (JWT) . В этой статье будет рассказано о том, что из себя представляют JSON Web Tokens (JWT) и с чем...
❤5
Исправляюсь с Base64
Skypro
Base64 кодирование: как работает, применение и примеры
Base64 превращает бинарные данные (например, картинки) в текст, используя 64 символа, чтобы их можно было отправлять по интернету без повреждений. 📧➡️📄 Это как переводить секретные сообщения на общедоступный язык, чтобы они дошли целыми.
❤2
Тулинг
Для работы с любыми кодировками лучше всего подходит CyberChef - он как швейцарский нож
Для JWT самый популярный декодер/энкодер - это jwt.io
#tools #learn
Для работы с любыми кодировками лучше всего подходит CyberChef - он как швейцарский нож
Для JWT самый популярный декодер/энкодер - это jwt.io
#tools #learn
gchq.github.io
CyberChef
The Cyber Swiss Army Knife - a web app for encryption, encoding, compression and data analysis
❤3
Выкатил небольшой таск на jwt, чтобы вы потренировались и разобрались, как он работает
❤4
Кто не успел привязать тг к аккаунту на нашей платформе и хочет получить баллы и призы от студа, пж сделайте в ближайшее время
Занятие!!
Напоминаем, сегодня встречаемся на последнем занятии в рамках школы CTF в 273 аудитории в 18.00!
#event
Напоминаем, сегодня встречаемся на последнем занятии в рамках школы CTF в 273 аудитории в 18.00!
#event
🔥9