Разбор конкурса IDS Bypass на Positive Hack Days 11
Конкурс IDS Bypass проходил на конференции Positive Hack Days уже в четвертый раз (разбор одного из прошлых конкурсов). В этом году мы сделали шесть игровых узлов с флагом на каждом. Для получения флага участнику предлагалось либо проэксплуатировать уязвимость на сервере, либо выполнить другое условие, например перебрать списки пользователей в домене.
Сами задания и уязвимости были достаточно простыми. Сложность представлял обход IDS: система инспектирует сетевой трафик от участников специальными правилами, которые ищут атаки. Если такое правило срабатывает, сетевой запрос участника блокируется и бот присылает ему текст сработавшего правила в Телеграм.
И да, в этом году мы попробовали уйти от привычных CTFd и журналов IDS в сторону более удобного телеграм-бота. Для участия необходимо было всего лишь написать боту и выбрать имя пользователя. Затем он присылал OVPN-файл для подключения к игровой сети, и в дальнейшем все взаимодействие (просмотр заданий и игрового дашборда, сдача флагов) происходило только через бота. Этот подход оправдал себя на 100%!
Читать далееИсточник: Хабрахабр
Похожие новости
- Пилюля против фишинга
- Почему все ломается, или Зачем менеджеру в ИТ софт-скилы
- Прощай, reCAPTCHA! Как я защитил формы входа с помощью бесплатной и невидимой CAPTCHA от Cloudflare
- Блог ленивого инвестора: Итоги недели: “Маловато будет!”
- Новости кибербезопасности за неделю с 30 июня по 6 июля 2025
- Как я почти продал ник за $9500 в Telegram
- ВМК МГУ имени М.В. Ломоносова: Учёные МГУ разработали математическую модель для предотвращения давки в общественных местах
- [Перевод] Как CAPTCHA используются для установки стиллеров и троянов
- Еще раз об SVG-виджетах в tcl/tk
- Spark_news: ЦБ передаст часть IT-разработки в Индию?