Разбор конкурса IDS Bypass на Positive Hack Days 11
Конкурс IDS Bypass проходил на конференции Positive Hack Days уже в четвертый раз (разбор одного из прошлых конкурсов). В этом году мы сделали шесть игровых узлов с флагом на каждом. Для получения флага участнику предлагалось либо проэксплуатировать уязвимость на сервере, либо выполнить другое условие, например перебрать списки пользователей в домене.
Сами задания и уязвимости были достаточно простыми. Сложность представлял обход IDS: система инспектирует сетевой трафик от участников специальными правилами, которые ищут атаки. Если такое правило срабатывает, сетевой запрос участника блокируется и бот присылает ему текст сработавшего правила в Телеграм.
И да, в этом году мы попробовали уйти от привычных CTFd и журналов IDS в сторону более удобного телеграм-бота. Для участия необходимо было всего лишь написать боту и выбрать имя пользователя. Затем он присылал OVPN-файл для подключения к игровой сети, и в дальнейшем все взаимодействие (просмотр заданий и игрового дашборда, сдача флагов) происходило только через бота. Этот подход оправдал себя на 100%!
Читать далееИсточник: Хабрахабр
Похожие новости
- SD-WAN и трудности миграции: успеть за 30 минут
- Почему компании выходят из облака?
- Расследование: отечественные микросхемы в счетчиках электроэнергии – миф или реальность?
- Пентесты: как сделать всё по закону
- Compass Мессенджер: Как финтех-стартап Stripe пришел к $100 млрд капитализации: низкая база и большие деньги
- Appbooster: Свежие обновления App Store и Google Play и как они влияют на ASO
- AlinaTen: Masimo подала в суд на таможню США из-за запрета на ввоз Apple Watch
- mybi connect: 8 лет mybi connect!
- Spark_news: Теперь в 2ГИС родители в России смогут следить за тем, где находятся их дети
- Passkeys как альтернатива CAPTCHA: миф или будущее?