SecSem Wiki - Вклад [ru]

Введение в практическую безопасность (2019)/Симметричная криптография

2019-04-23T08:00:30Z

Enr1g: /* Описание */

= Описание =

Ваше задание состоит в том, чтобы самостоятельно провести атаку Padding Oracle.

* Используемый шифр: AES-128-CBC
* Вектор инициализации: <code>[0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0]</code> (16 нулевых байтов)
* Используемый padding: ANSI X9.23
* Адрес: bw.1337.cx:31337
* Стоимость: 1000
* Шифртекст флага: <code>d12c77188e1fcbe695f90841dc12e5f5e78dd90e940ee4ca06a7be4092e12122</code>

= Бонусные задания =

Задача с аналогичными условиями, но с padding PKCS7

* Адрес: bw.1337.cx:31338
* Стоимость: 250
* Шифртекст флага: <code>4de712bd6eafe1a5bdea339c7028cbed97036a331d5a5c0b1490ebc9c5a8d939</code>

= Важные замечания =

Настоятельно рекомендую тестировать свои приложения локально. По сети вы сможете выжать максимум 15 запросов в секунду (в один поток). Для этого напишите своего тестового оракула. Это просто, благо, pycrypto вы уже пользовались (<code>AES.new(key, mode=AES.MODE_CBC, IV=b'\x00'*16)</code>).

При проблемах с доступностью Сервиса сообщать @Enr1g, как и подозрениях на баги. Вопросы по заданию направлять в общий чат, чтобы все видели ответы на них.

= Материалы =
* [https://drive.google.com/file/d/1D1EX8zop6B1mRLV-3y_FFDKYHJcyjPJG/view презентация]
* [https://www.crypto101.io/ Crypto101]
* [http://cryptopals.com/ The Cryptopals Crypto Challenges]

Введение в практическую безопасность (2019)/Задания по криптографии

2019-04-22T05:41:42Z

Enr1g:

= Общая информация =

* Формат флагов: <code>FLAG{[a-z0-9_]+}</code>.
* Дедлайн: TBD.
* [https://dashboard.course.secsem.ru/ Принимающая система].

= Основы криптографии =
[[Введение в практическую безопасность (2019)/Основы криптографии|Материалы]].

# Найдите флаг в [[Введение в практическую безопасность (2019)/Основы криптографии#Лекция|слайдах презентации к лекции]]. Гарантируется, что он достаточно короткий.<br/><small>Внимание! Перед решением задачи проверьте, что MD5-хэш файла с презентацией совпадает с <code>55aa58a8ef77e5d7da0e21e1d64210d9</code>. В противном случае скачайте файл заново.</small>
# Известно, что [https://khashaev.ru/assets/secsem/crypto-101/text.txt.xor некий текст] зашифрован периодическим XOR-шифром. Восстановите ключ шифрования.

= Асимметричная криптография на примере RSA =
[[Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA|Материалы]].

Задачи: [https://khashaev.ru/secsem/rsa/#broadcast broadcast], [https://khashaev.ru/secsem/rsa/#common-sense common-sense].

= Симметричная криптография =

См. описание задачи [[Введение в практическую безопасность (2019)/Симметричная криптография|здесь]]

Введение в практическую безопасность (2019)

2019-04-20T11:12:23Z

Enr1g: /* Криптография */

__NOTOC__
'''Введение в практическую безопасность''' — математический спецкурс по выбору, читается лабораторией интеллектуальных систем кибербезопасности (ЛИСК) кафедры информационной безопасности (ИБ) факультета ВМК.

* '''Когда''': каждый вторник, 18:05, с 12 февраля 2019
* '''Где''': аудитория 685, 2-й учебный корпус, планета Земля, Млечный Путь.
* '''Чат''': https://t.me/joinchat/B4hXs1Z5I6qEtns9fjgbfg или Matrix [https://matrix.to/#/#7fZs5vxGhmxS5KPHDTatYQ:torlan.ru #7fZs5vxGhmxS5KPHDTatYQ:torlan.ru]

Курс рекомендуется студентам, интересующимся практической безопасностью, в особенности — студентам 2-го курса, планирующим распределиться в лабораторию. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты на курсе:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания вместе дадут '''3000'''. Критерии такие:
* '''3000''' и больше будут давать оценку "отлично".
* баллы >= '''1500''', но меньше '''3000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1500''' будут давать оценку "удовлетворительно"
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Кстати, у нас есть CTF-команда [[Bushwhackers]], приглашаем вас поиграть с нами!</ref>.

== Задания ==

* [[Введение_в_практическую_безопасность_(2019)/Задания_по_вебу|Задания по вебу]]
* [[/Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей|Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей]]
* [[/Задания по криптографии|Задания по криптографии]]

== Материалы ==

=== Веб ===
* [[Введение_в_практическую_безопасность_(2019)/HTTP,_инструменты_%26_SQL_injection|HTTP, инструменты и SQL injection]] - по теме первого занятия по веб-безопасности
* [[Введение_в_практическую_безопасность_(2019)/Эксплуатация_SQL_injection|Эксплуатация SQL injection]] и [[Введение_в_практическую_безопасность_(2019)/Небезопасная_загрузка_файлов|Небезопасная загрузка файлов]] - по теме второго занятия по веб-безопасности
* [[Введение_в_практическую_безопасность_(2019)/Атаки_на_клиента_веб-приложения_-_CSRF_&_XSS|Атаки на клиента веб-приложения - CSRF и XSS]] - по теме третьего занятия по веб-безопасности

Также может быть полезным [[Введение_в_практическую_безопасность_(2019)/Свой_тестовый_веб-сервер|как поднять свой тестовый веб-сервер]].

Еще про веб-безопасность - Веб-безопасность 101. Курс молодого бойца от Андрея Петухова https://docs.google.com/document/d/13zgZ_CRRHADwxf41mSSSuoJQLkMc67TXxpYLoW6lRak

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[/Реверс-инжиниринг|Реверс-инжиниринг]]
* [[/Бинарная эксплуатация|Бинарная эксплуатация]]

=== Криптография ===

* [[/Основы криптографии|Основы криптографии]]
* [[/Асимметричная криптография на примере RSA|Асимметричная криптография на примере RSA]]
* [[/Симметричная криптография|Симметричная криптография]]

== Примечания ==
<references/>

Введение в практическую безопасность (2019)/Симметричная криптография

2019-04-20T11:10:55Z

Enr1g: Новая страница: «= Описание = Ваше задание состоит в том, чтобы самостоятельно провести атаку Padding Oracle. * И…»

= Описание =

Ваше задание состоит в том, чтобы самостоятельно провести атаку Padding Oracle.

* Используемый шифр: AES-128-CBC
* Вектор инициализации: <code>[0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0]</code> (16 нулевых байтов)
* Используемый padding: ANSI X2.93
* Адрес: bw.1337.cx:31337
* Стоимость: 1000
* Шифртекст флага: <code>d12c77188e1fcbe695f90841dc12e5f5e78dd90e940ee4ca06a7be4092e12122</code>

= Бонусные задания =

Задача с аналогичными условиями, но с padding PKCS7

* Адрес: bw.1337.cx:31338
* Стоимость: 250
* Шифртекст флага: <code>4de712bd6eafe1a5bdea339c7028cbed97036a331d5a5c0b1490ebc9c5a8d939</code>

= Важные замечания =

Настоятельно рекомендую тестировать свои приложения локально. По сети вы сможете выжать максимум 15 запросов в секунду (в один поток). Для этого напишите своего тестового оракула. Это просто, благо, pycrypto вы уже пользовались (<code>AES.new(key, mode=AES.MODE_CBC, IV=b'\x00'*16)</code>).

При проблемах с доступностью Сервиса сообщать @Enr1g, как и подозрениях на баги. Вопросы по заданию направлять в общий чат, чтобы все видели ответы на них.

= Материалы =
* [https://drive.google.com/file/d/1D1EX8zop6B1mRLV-3y_FFDKYHJcyjPJG/view презентация]
* [https://www.crypto101.io/ Crypto101]
* [http://cryptopals.com/ The Cryptopals Crypto Challenges]