Всем доброго вечера!
Хотелось бы сказать несколько моментов:
1) Пишите тут в чатик по любому возникшему вопросу (даже если вам кажется, что он совсем глупый и простой), комунити у нас доброе: поможем, расскажем, покажем.
2) Если у кого-то есть то, что он хотел бы узнать на следующем занятии по ВЭБУ (или что-то не понял с предыдущего занятия и хочет, чтобы мы повторили это еще разок), опять же вэлкам либо в чатик либо в коменты к этому посту. Сильно постраемся включить ваши пожелания в нашу программу :)
P.S
Следующее занятие по web'чику пройдет в субботу 16.02 в 18.00
Хотелось бы сказать несколько моментов:
1) Пишите тут в чатик по любому возникшему вопросу (даже если вам кажется, что он совсем глупый и простой), комунити у нас доброе: поможем, расскажем, покажем.
2) Если у кого-то есть то, что он хотел бы узнать на следующем занятии по ВЭБУ (или что-то не понял с предыдущего занятия и хочет, чтобы мы повторили это еще разок), опять же вэлкам либо в чатик либо в коменты к этому посту. Сильно постраемся включить ваши пожелания в нашу программу :)
P.S
Следующее занятие по web'чику пройдет в субботу 16.02 в 18.00
👍8❤5
ГДЕ можно поближе познакомиться с веб-тасками и порешать их:
1. https://tryhackme.com/ - тут очень много хорошей теории про Linux, основные уязвимости, разные способы эксплуатации этих уязвимостей и защиты от них.
2. https://portswigger.net - тут также есть объяснение того, как работают веб-уявзимости, но главное что тут огромное колличество лаб на абсолютно разные темы. Если нужна практика по вебу - must seen
3. https://app.hackthebox.com - отличная платформа для практики. Большое колличество, как и black box (без исходного кода) машин, так и white box (с исходным кодом).
4. https://vk.com/@spbctf-ctf-for-beginners - тут и теория, и практика для самых маленьких.
#learn
1. https://tryhackme.com/ - тут очень много хорошей теории про Linux, основные уязвимости, разные способы эксплуатации этих уязвимостей и защиты от них.
2. https://portswigger.net - тут также есть объяснение того, как работают веб-уявзимости, но главное что тут огромное колличество лаб на абсолютно разные темы. Если нужна практика по вебу - must seen
3. https://app.hackthebox.com - отличная платформа для практики. Большое колличество, как и black box (без исходного кода) машин, так и white box (с исходным кодом).
4. https://vk.com/@spbctf-ctf-for-beginners - тут и теория, и практика для самых маленьких.
#learn
👍13❤1
Как вам сегодняшнее занятие?
Anonymous Poll
9%
Взрыв мозга, ничего не понял😑
19%
Многое понял, но не все
27%
Понял все, в самый раз по сложности
7%
Было слишком просто, давайте сложнее
0%
Не понравилось, больше не приду
39%
Не ходил
👍5
Summary вчерашнего занятия
1. Поговорили про слабые варианты защиты от Path Traversal
2. Разобрали сложное задание с прошлого года CybHack CTF. Само задание все еще доступно на нашей платформе. (Для решения вам может понадобиться интересная статейка про flask-unsign)
3. Поговорили про самую распространенную Client-Side уязвимость XSS (Cross-Site-Scripting)
4. Познакомились с платформой PortSwigger и решили несколько лабораторных работ оттуда - разобрали SSRF и логические уязвимости приложений. (Данная платформа считается самой лучшей для вкатывания в информационную безопасность веб-приложений, так что дерзайте, там очень много лаб.-. p.s. если будут вопросы по лабам, можете смело писать нам)
#summary #learn
1. Поговорили про слабые варианты защиты от Path Traversal
2. Разобрали сложное задание с прошлого года CybHack CTF. Само задание все еще доступно на нашей платформе. (Для решения вам может понадобиться интересная статейка про flask-unsign)
3. Поговорили про самую распространенную Client-Side уязвимость XSS (Cross-Site-Scripting)
4. Познакомились с платформой PortSwigger и решили несколько лабораторных работ оттуда - разобрали SSRF и логические уязвимости приложений. (Данная платформа считается самой лучшей для вкатывания в информационную безопасность веб-приложений, так что дерзайте, там очень много лаб.-. p.s. если будут вопросы по лабам, можете смело писать нам)
#summary #learn
❤13
Лекция
Также хотим напомнить, что сегодня в 17.00 Леша проведет для вас лекцию в нашем дискорде. В ней он немножко отойдет от CTF и интересно расскажет вам, как работают сети и каким образом компьютеры взаимодействуют друг с другом. Обязательно приходите, Леша очень крутой рассказчик!
#event
Также хотим напомнить, что сегодня в 17.00 Леша проведет для вас лекцию в нашем дискорде. В ней он немножко отойдет от CTF и интересно расскажет вам, как работают сети и каким образом компьютеры взаимодействуют друг с другом. Обязательно приходите, Леша очень крутой рассказчик!
#event
🔥12
Курс
Совершенно забыл вам рассказать про курс ugractf, где вкратце рассказано про все категории тасков, которые вы можете встретить на реальных ctf. В нем присутствуют и практические задания, так что сможете сразу и попрактиковаться, начав с простого
P.S. Сам с него начинал когда-то оч давно, так что действительно советую для старта в мире флагов
#learn
Совершенно забыл вам рассказать про курс ugractf, где вкратце рассказано про все категории тасков, которые вы можете встретить на реальных ctf. В нем присутствуют и практические задания, так что сможете сразу и попрактиковаться, начав с простого
P.S. Сам с него начинал когда-то оч давно, так что действительно советую для старта в мире флагов
#learn
❤8
JWT
На занятии говорили с вами о сессионных куки фласка, однако это не единственный способ для авторизации пользователей в веб-приложении. Один из них - JWT (json web token). С его помощью можно хранить информацию о пользователе на стороне клиента, не задействуя при этом никаких ресурсов для хранения этих токенов (как это реализовано в flask). Советую почитать статейку о том, как они работают, ибо это очень часто встречающаяся технология на CTF.
#learn
На занятии говорили с вами о сессионных куки фласка, однако это не единственный способ для авторизации пользователей в веб-приложении. Один из них - JWT (json web token). С его помощью можно хранить информацию о пользователе на стороне клиента, не задействуя при этом никаких ресурсов для хранения этих токенов (как это реализовано в flask). Советую почитать статейку о том, как они работают, ибо это очень часто встречающаяся технология на CTF.
#learn
Хабр
Пять простых шагов для понимания JSON Web Tokens (JWT)
Представляю вам мой довольно вольный перевод статьи 5 Easy Steps to Understanding JSON Web Tokens (JWT) . В этой статье будет рассказано о том, что из себя представляют JSON Web Tokens (JWT) и с чем...
❤5
Исправляюсь с Base64
Skypro
Base64 кодирование: как работает, применение и примеры
Base64 превращает бинарные данные (например, картинки) в текст, используя 64 символа, чтобы их можно было отправлять по интернету без повреждений. 📧➡️📄 Это как переводить секретные сообщения на общедоступный язык, чтобы они дошли целыми.
❤2
Тулинг
Для работы с любыми кодировками лучше всего подходит CyberChef - он как швейцарский нож
Для JWT самый популярный декодер/энкодер - это jwt.io
#tools #learn
Для работы с любыми кодировками лучше всего подходит CyberChef - он как швейцарский нож
Для JWT самый популярный декодер/энкодер - это jwt.io
#tools #learn
gchq.github.io
CyberChef
The Cyber Swiss Army Knife - a web app for encryption, encoding, compression and data analysis
❤3
Выкатил небольшой таск на jwt, чтобы вы потренировались и разобрались, как он работает
❤4
Кто не успел привязать тг к аккаунту на нашей платформе и хочет получить баллы и призы от студа, пж сделайте в ближайшее время
Занятие!!
Напоминаем, сегодня встречаемся на последнем занятии в рамках школы CTF в 273 аудитории в 18.00!
#event
Напоминаем, сегодня встречаемся на последнем занятии в рамках школы CTF в 273 аудитории в 18.00!
#event
🔥9
Как вам занятие?
Anonymous Poll
9%
Зажестили, ребят, ничего не понятно
36%
Частично понятно и интересно
15%
Я все понял (гений)
39%
Не ходил (не узнал, кто такой бебебе)
🔥7
💯9