SecSem Wiki - Вклад [ru]

Практикум на ЭВМ (2023)

2024-02-22T09:34:10Z

Inviz: /* Задания */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 10:30
* '''Где''': аудитория 790 или 71

Практикум связан с курсом «Безопасность компьютерных систем», который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара — т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2023/2024 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате CTF-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько «флагов», выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний («_»).

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова — возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2023)/Бонусное_задание|Бонусное задание]]</s>
* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 17.10.2023 23:43)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://shop.tasks.prak.seclab.cs.msu.ru/</s> (dedline - 23.11.2023 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2023 reverse tasks.zip|Задания по реверсу]] (deadline - 16.11.2023 23:59:59.999999 MSK)
* [[Media:2023 pwn tasks.tar.gz|Задания по бинарной эксплутации]] (deadline - 17.12.2023 23:59:59.999999 MSK)

=== Криптография и криптоанализ ===

* RSA: [https://khashaev.ru/secsem/rsa/#broadcast broadcast], [https://khashaev.ru/secsem/rsa/#common-sense common-sense]

== Материалы ==

=== Веб ===

Семинар 1 (11 сентября 2023) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (18 сентября 2023) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (25 сентября 2023) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (2 октября 2023) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (9 октября 2023) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (16 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (23 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (30 октября 2023) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 10 (20 ноября 2022) [[Бинарные_уязвимости/Переполнение_стека]]

Семинар 11 (27 ноября 2022) [[Бинарные_уязвимости/ROP]]

=== Криптография и криптоанализ ===

Семинар 1 (22 февраля 2024) [[Криптография/Асимметричная криптография на примере RSA]]

== Примечания ==
<references/>

Практикум на ЭВМ (2023)

2024-02-22T09:32:18Z

Inviz:

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 10:30
* '''Где''': аудитория 790 или 71

Практикум связан с курсом «Безопасность компьютерных систем», который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара — т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2023/2024 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате CTF-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько «флагов», выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний («_»).

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова — возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2023)/Бонусное_задание|Бонусное задание]]</s>
* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 17.10.2023 23:43)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://shop.tasks.prak.seclab.cs.msu.ru/</s> (dedline - 23.11.2023 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2023 reverse tasks.zip|Задания по реверсу]] (deadline - 16.11.2023 23:59:59.999999 MSK)
* [[Media:2023 pwn tasks.tar.gz|Задания по бинарной эксплутации]] (deadline - 17.12.2023 23:59:59.999999 MSK)

== Материалы ==

=== Веб ===

Семинар 1 (11 сентября 2023) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (18 сентября 2023) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (25 сентября 2023) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (2 октября 2023) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (9 октября 2023) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (16 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (23 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (30 октября 2023) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 10 (20 ноября 2022) [[Бинарные_уязвимости/Переполнение_стека]]

Семинар 11 (27 ноября 2022) [[Бинарные_уязвимости/ROP]]

=== Криптография и криптоанализ ===

Семинар 1 (22 февраля 2024) [[Криптография/Асимметричная криптография на примере RSA]]

== Примечания ==
<references/>

Криптография/Асимметричная криптография на примере RSA

2024-02-22T09:28:22Z

Inviz: /* Википедия */

= Материалы =

* [https://gist.github.com/Invizory/c08c6a78d28bfed1693f775a75984189 Аннотированная реализация модельной RSA в Sage с занятия]
* Система компьютерной алгебры [https://www.sagemath.org/ SageMath], [http://doc.sagemath.org/html/ru/tutorial/index.html введение] ([http://doc.sagemath.org/html/ru/tutorial/index.html на русском]), [http://doc.sagemath.org/html/en/reference/index.html документация]
* <s>[https://www.dlitz.net/software/pycrypto/api/current/Crypto.PublicKey.RSA-module.html Документация по <code>Crypto.PublicKey.RSA</code> из <code>pycrypto</code>]</s> (deprecated)
* [https://pycryptodome.readthedocs.io/ Документация по <code>pycryptodome</code>]
* [https://cryptography.io/ Документация по <code>cryptography</code>]
* [https://crypto.stanford.edu/~dabo/papers/RSA-survey.pdf Twenty Years of Attacks on the RSA Cryptosystem] by Dan Boneh

= Википедия =
* [https://ru.wikipedia.org/wiki/RSA RSA]
* [https://ru.wikipedia.org/wiki/%D0%A1%D1%80%D0%B0%D0%B2%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D0%BC%D0%BE%D0%B4%D1%83%D0%BB%D1%8E Сравнение по модулю]
* [https://ru.wikipedia.org/wiki/%D0%90%D0%BB%D0%B3%D0%BE%D1%80%D0%B8%D1%82%D0%BC%D1%8B_%D0%B1%D1%8B%D1%81%D1%82%D1%80%D0%BE%D0%B3%D0%BE_%D0%B2%D0%BE%D0%B7%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2_%D1%81%D1%82%D0%B5%D0%BF%D0%B5%D0%BD%D1%8C Алгоритмы быстрого возведения в степень по модулю]
* [https://ru.wikipedia.org/wiki/%D0%A4%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F_%D0%AD%D0%B9%D0%BB%D0%B5%D1%80%D0%B0 Функция Эйлера]
* [https://ru.wikipedia.org/wiki/%D0%A2%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%AD%D0%B9%D0%BB%D0%B5%D1%80%D0%B0_(%D1%82%D0%B5%D0%BE%D1%80%D0%B8%D1%8F_%D1%87%D0%B8%D1%81%D0%B5%D0%BB) Теорема Эйлера] и [https://ru.wikipedia.org/wiki/%D0%9C%D0%B0%D0%BB%D0%B0%D1%8F_%D1%82%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%A4%D0%B5%D1%80%D0%BC%D0%B0 малая теорема Ферма]
* [https://ru.wikipedia.org/wiki/%D0%9A%D0%B8%D1%82%D0%B0%D0%B9%D1%81%D0%BA%D0%B0%D1%8F_%D1%82%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1_%D0%BE%D1%81%D1%82%D0%B0%D1%82%D0%BA%D0%B0%D1%85 Китайская теорема об остатках]
* [https://ru.wikipedia.org/wiki/%D0%90%D0%BB%D0%B3%D0%BE%D1%80%D0%B8%D1%82%D0%BC_%D0%95%D0%B2%D0%BA%D0%BB%D0%B8%D0%B4%D0%B0 Алгоритм Евклида]
* [https://ru.wikipedia.org/wiki/%D0%A2%D0%B5%D1%81%D1%82_%D0%91%D0%B5%D0%B9%D0%BB%D0%B8_%E2%80%94_%D0%9F%D0%BE%D0%BC%D0%B5%D1%80%D0%B0%D0%BD%D1%86%D0%B0_%E2%80%94_%D0%A1%D0%B5%D0%BB%D1%84%D1%80%D0%B8%D0%B4%D0%B6%D0%B0_%E2%80%94_%D0%A3%D0%BE%D0%B3%D1%81%D1%82%D0%B0%D1%84%D1%84%D0%B0 Вероятностный алгоритм BPSW проверки чисел на простоту]

= Sage =
* [https://www.sagemath.org Sage]
* На Debian-подобных системах устанавливается с помощью <code>apt install sagemath</code>
* [http://doc.sagemath.org/html/en/reference/rings_standard/sage/arith/misc.html#sage.arith.misc.CRT Китайская теорема об остатках]
* Установка пакетов: <code>sage -python3 -m pip install ...</code>
* Запуск веб-интерфейса для работы с ноутбуками: <code>sage -n jupyterlab</code>

Криптография/Асимметричная криптография на примере RSA

2024-02-22T09:25:59Z

Inviz: /* Википедия */

= Материалы =

* [https://gist.github.com/Invizory/c08c6a78d28bfed1693f775a75984189 Аннотированная реализация модельной RSA в Sage с занятия]
* Система компьютерной алгебры [https://www.sagemath.org/ SageMath], [http://doc.sagemath.org/html/ru/tutorial/index.html введение] ([http://doc.sagemath.org/html/ru/tutorial/index.html на русском]), [http://doc.sagemath.org/html/en/reference/index.html документация]
* <s>[https://www.dlitz.net/software/pycrypto/api/current/Crypto.PublicKey.RSA-module.html Документация по <code>Crypto.PublicKey.RSA</code> из <code>pycrypto</code>]</s> (deprecated)
* [https://pycryptodome.readthedocs.io/ Документация по <code>pycryptodome</code>]
* [https://cryptography.io/ Документация по <code>cryptography</code>]
* [https://crypto.stanford.edu/~dabo/papers/RSA-survey.pdf Twenty Years of Attacks on the RSA Cryptosystem] by Dan Boneh

= Википедия =
* [https://ru.wikipedia.org/wiki/RSA RSA]
* [https://ru.wikipedia.org/wiki/%D0%A1%D1%80%D0%B0%D0%B2%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D0%BC%D0%BE%D0%B4%D1%83%D0%BB%D1%8E Сравнение по модулю]
* [https://ru.wikipedia.org/wiki/%D0%90%D0%BB%D0%B3%D0%BE%D1%80%D0%B8%D1%82%D0%BC%D1%8B_%D0%B1%D1%8B%D1%81%D1%82%D1%80%D0%BE%D0%B3%D0%BE_%D0%B2%D0%BE%D0%B7%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2_%D1%81%D1%82%D0%B5%D0%BF%D0%B5%D0%BD%D1%8C Алгоритмы быстрого возведения в степень по модулю]
* [https://ru.wikipedia.org/wiki/%D0%A4%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F_%D0%AD%D0%B9%D0%BB%D0%B5%D1%80%D0%B0 Функция Эйлера]
* [https://ru.wikipedia.org/wiki/%D0%A2%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%AD%D0%B9%D0%BB%D0%B5%D1%80%D0%B0_(%D1%82%D0%B5%D0%BE%D1%80%D0%B8%D1%8F_%D1%87%D0%B8%D1%81%D0%B5%D0%BB) Теорема Эйлера] и [https://ru.wikipedia.org/wiki/%D0%9C%D0%B0%D0%BB%D0%B0%D1%8F_%D1%82%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%A4%D0%B5%D1%80%D0%BC%D0%B0 малая теорема Ферма]
* [https://ru.wikipedia.org/wiki/%D0%9A%D0%B8%D1%82%D0%B0%D0%B9%D1%81%D0%BA%D0%B0%D1%8F_%D1%82%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1_%D0%BE%D1%81%D1%82%D0%B0%D1%82%D0%BA%D0%B0%D1%85 Китайская теорема об остатках]
* [https://ru.wikipedia.org/wiki/%D0%90%D0%BB%D0%B3%D0%BE%D1%80%D0%B8%D1%82%D0%BC_%D0%95%D0%B2%D0%BA%D0%BB%D0%B8%D0%B4%D0%B0 Алгоритм Евклида]

= Sage =
* [https://www.sagemath.org Sage]
* На Debian-подобных системах устанавливается с помощью <code>apt install sagemath</code>
* [http://doc.sagemath.org/html/en/reference/rings_standard/sage/arith/misc.html#sage.arith.misc.CRT Китайская теорема об остатках]
* Установка пакетов: <code>sage -python3 -m pip install ...</code>
* Запуск веб-интерфейса для работы с ноутбуками: <code>sage -n jupyterlab</code>

Криптография/Асимметричная криптография на примере RSA

2024-02-22T09:25:06Z

Inviz: /* Материалы */

= Материалы =

* [https://gist.github.com/Invizory/c08c6a78d28bfed1693f775a75984189 Аннотированная реализация модельной RSA в Sage с занятия]
* Система компьютерной алгебры [https://www.sagemath.org/ SageMath], [http://doc.sagemath.org/html/ru/tutorial/index.html введение] ([http://doc.sagemath.org/html/ru/tutorial/index.html на русском]), [http://doc.sagemath.org/html/en/reference/index.html документация]
* <s>[https://www.dlitz.net/software/pycrypto/api/current/Crypto.PublicKey.RSA-module.html Документация по <code>Crypto.PublicKey.RSA</code> из <code>pycrypto</code>]</s> (deprecated)
* [https://pycryptodome.readthedocs.io/ Документация по <code>pycryptodome</code>]
* [https://cryptography.io/ Документация по <code>cryptography</code>]
* [https://crypto.stanford.edu/~dabo/papers/RSA-survey.pdf Twenty Years of Attacks on the RSA Cryptosystem] by Dan Boneh

= Википедия =
* [https://ru.wikipedia.org/wiki/RSA RSA]
* [https://ru.wikipedia.org/wiki/%D0%A1%D1%80%D0%B0%D0%B2%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D0%BC%D0%BE%D0%B4%D1%83%D0%BB%D1%8E Сравнение по модулю]
* [https://ru.wikipedia.org/wiki/%D0%90%D0%BB%D0%B3%D0%BE%D1%80%D0%B8%D1%82%D0%BC%D1%8B_%D0%B1%D1%8B%D1%81%D1%82%D1%80%D0%BE%D0%B3%D0%BE_%D0%B2%D0%BE%D0%B7%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2_%D1%81%D1%82%D0%B5%D0%BF%D0%B5%D0%BD%D1%8C Алгоритмы быстрого возведения в степень по модулю]
* [https://ru.wikipedia.org/wiki/%D0%A4%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F_%D0%AD%D0%B9%D0%BB%D0%B5%D1%80%D0%B0 Функция Эйлера]
* [https://ru.wikipedia.org/wiki/%D0%A2%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%AD%D0%B9%D0%BB%D0%B5%D1%80%D0%B0_(%D1%82%D0%B5%D0%BE%D1%80%D0%B8%D1%8F_%D1%87%D0%B8%D1%81%D0%B5%D0%BB) Теорема Эйлера] и [https://ru.wikipedia.org/wiki/%D0%9C%D0%B0%D0%BB%D0%B0%D1%8F_%D1%82%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%A4%D0%B5%D1%80%D0%BC%D0%B0 малая теорема Ферма]
* [https://ru.wikipedia.org/wiki/%D0%9A%D0%B8%D1%82%D0%B0%D0%B9%D1%81%D0%BA%D0%B0%D1%8F_%D1%82%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1_%D0%BE%D1%81%D1%82%D0%B0%D1%82%D0%BA%D0%B0%D1%85 Китайская теорема об остатках]

= Sage =
* [https://www.sagemath.org Sage]
* На Debian-подобных системах устанавливается с помощью <code>apt install sagemath</code>
* [http://doc.sagemath.org/html/en/reference/rings_standard/sage/arith/misc.html#sage.arith.misc.CRT Китайская теорема об остатках]
* Установка пакетов: <code>sage -python3 -m pip install ...</code>
* Запуск веб-интерфейса для работы с ноутбуками: <code>sage -n jupyterlab</code>

Практикум на ЭВМ (2023)

2024-02-22T09:24:22Z

Inviz: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по понедельникам, 12:50
* '''Где''': аудитория 706

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2023/2024 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2023)/Бонусное_задание|Бонусное задание]]</s>
* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 17.10.2023 23:43)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://shop.tasks.prak.seclab.cs.msu.ru/</s> (dedline - 23.11.2023 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2023 reverse tasks.zip|Задания по реверсу]] (deadline - 16.11.2023 23:59:59.999999 MSK)
* [[Media:2023 pwn tasks.tar.gz|Задания по бинарной эксплутации]] (deadline - 17.12.2023 23:59:59.999999 MSK)

== Материалы ==

=== Веб ===

Семинар 1 (11 сентября 2023) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (18 сентября 2023) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (25 сентября 2023) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (2 октября 2023) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (9 октября 2023) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (16 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (23 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (30 октября 2023) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 10 (20 ноября 2022) [[Бинарные_уязвимости/Переполнение_стека]]

Семинар 11 (27 ноября 2022) [[Бинарные_уязвимости/ROP]]

=== Криптография и криптоанализ ===

Семинар 1 (22 февраля 2024) [[Криптография/Асимметричная криптография на примере RSA]]

== Примечания ==
<references/>

Практикум на ЭВМ (2023)

2024-02-22T09:24:12Z

Inviz: /* Материалы */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по понедельникам, 12:50
* '''Где''': аудитория 706

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2023/2024 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2023)/Бонусное_задание|Бонусное задание]]</s>
* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 17.10.2023 23:43)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://shop.tasks.prak.seclab.cs.msu.ru/</s> (dedline - 23.11.2023 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2023 reverse tasks.zip|Задания по реверсу]] (deadline - 16.11.2023 23:59:59.999999 MSK)
* [[Media:2023 pwn tasks.tar.gz|Задания по бинарной эксплутации]] (deadline - 17.12.2023 23:59:59.999999 MSK)

== Материалы ==

=== Веб ===

Семинар 1 (11 сентября 2023) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (18 сентября 2023) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (25 сентября 2023) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (2 октября 2023) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (9 октября 2023) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (16 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (23 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (30 октября 2023) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 10 (20 ноября 2022) [[Бинарные_уязвимости/Переполнение_стека]]

Семинар 11 (27 ноября 2022) [[Бинарные_уязвимости/ROP]]

=== Криптография и криптоанализ ===

* Семинар 1 (22 февраля 2021) [[Криптография/Асимметричная криптография на примере RSA]]

== Примечания ==
<references/>

Безопасность компьютерных систем (2023)

2024-02-22T09:23:17Z

Inviz:

Безопасность компьютерных систем (2023)

2024-02-22T09:20:58Z

Inviz: /* Материалы лекций */

Криптография/Основы криптографии

2024-02-22T09:18:19Z

Inviz: /* Инструменты для криптоанализа */

= Лекция =

* [https://khashaev.ru/assets/secsem/crypto-101/slides-2021.pdf Презентация с лекции]
* [https://www.youtube.com/watch?v=VDHKJX495C8 Видео этой лекции (2020)]

= Книги для начинающих =
* [https://www.crypto101.io/ Crypto101]

= Подборка статей про хэш-функции и хранение паролей =
* [http://www.mathstat.dal.ca/~selinger/md5collision/ MD5 Collision Demo]
* [https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks Everything you need to know about hash length extension attacks]
* [https://crypto.stackexchange.com/questions/8/why-do-we-append-the-length-of-the-message-in-sha-1-pre-processing Why do we append the length of the message in SHA-1 pre-processing?]
* [https://www.bentasker.co.uk/blog/security/201-why-you-should-be-asking-how-your-passwords-are-stored Why You Shouldn't be using SHA1 or MD5 to Store Passwords]
* [https://codahale.com/how-to-safely-store-a-password/ How To Safely Store A Password]
* [http://blog.ircmaxell.com/2011/08/rainbow-table-is-dead.html The Rainbow Table Is Dead]
* [http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords]

= Инструменты =
== Инструменты для криптоанализа ==
* [https://github.com/hellman/xortool XORTool] — инструмент для криптоанализа XOR-шифра с периодом
* [https://github.com/iagox86/hash_extender Hash Extender], [https://github.com/stephenbradshaw/hlextend hlextend], [https://github.com/viensea1106/hash-length-extension length-extension-tool] — инструменты для атаки удлинением сообщения

== Инструменты для перебора паролей ==
* [https://hashcat.net/hashcat/ hashcat]
* [https://www.openwall.com/john/ John The Ripper]

Криптография/Основы криптографии

2024-02-22T09:17:10Z

Inviz:

= Лекция =

* [https://khashaev.ru/assets/secsem/crypto-101/slides-2021.pdf Презентация с лекции]
* [https://www.youtube.com/watch?v=VDHKJX495C8 Видео этой лекции (2020)]

= Книги для начинающих =
* [https://www.crypto101.io/ Crypto101]

= Подборка статей про хэш-функции и хранение паролей =
* [http://www.mathstat.dal.ca/~selinger/md5collision/ MD5 Collision Demo]
* [https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks Everything you need to know about hash length extension attacks]
* [https://crypto.stackexchange.com/questions/8/why-do-we-append-the-length-of-the-message-in-sha-1-pre-processing Why do we append the length of the message in SHA-1 pre-processing?]
* [https://www.bentasker.co.uk/blog/security/201-why-you-should-be-asking-how-your-passwords-are-stored Why You Shouldn't be using SHA1 or MD5 to Store Passwords]
* [https://codahale.com/how-to-safely-store-a-password/ How To Safely Store A Password]
* [http://blog.ircmaxell.com/2011/08/rainbow-table-is-dead.html The Rainbow Table Is Dead]
* [http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords]

= Инструменты =
== Инструменты для криптоанализа ==
* [https://github.com/hellman/xortool XORTool] — инструмент для криптоанализа XOR-шифра с периодом
* [https://github.com/iagox86/hash_extender Hash Extender] — инструмент для атаки удлинением сообщения

== Инструменты для перебора паролей ==
* [https://hashcat.net/hashcat/ hashcat]
* [https://www.openwall.com/john/ John The Ripper]

Дополнительные главы практической безопасности (2022)/Задания

2023-04-20T12:46:08Z

Inviz:

* [[Дополнительные_главы_практической_безопасности_(2022)/Задания по XXE|Задания по XXE]]
* Хотя рождество ещё не скоро, у нас тут уже заранее работает [http://christmas.tasks.cyberschool.msu.ru/ сайт, позволяющий проверить, ждёт ли вас подарок на рождество]. Может это будет флаг?? Исходный код php-файла на этом сайте можно посмотреть, заменив расширение на <code>.phps</code>. Этот таск стоит '''100''' баллов. 

==== Формат заданий ====

В каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему. Для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаги могут иметь разную стоимость. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

==== Сдача флагов ====

Флаги нужно сдавать в [https://dopglavy.cyberschool.msu.ru/ принимающую систему]. Флаги могут время от времени меняться, если вы получили флаг, но он не сдаётся, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

==== Поломка заданий ====

Поломка не исключена, если задание не работает, или вы думаете что что-то работает не так, как должно, пишите в чат или мне в телеграм @inviz.

Криптография/Основы криптографии

2023-02-27T17:30:49Z

Inviz: /* Лекция */

= Лекция =

* [https://khashaev.ru/assets/secsem/crypto-101/slides-2021.pdf Презентация с лекции]
* [https://www.youtube.com/watch?v=VDHKJX495C8 Видео этой лекции (2020)]

= Книги для начинающих =
* [https://www.crypto101.io/ Crypto101]

= Подборка статей про хэш-функции и хранение паролей =
* [http://www.mathstat.dal.ca/~selinger/md5collision/ MD5 Collision Demo]
* [https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks Everything you need to know about hash length extension attacks]
* [https://crypto.stackexchange.com/questions/8/why-do-we-append-the-length-of-the-message-in-sha-1-pre-processing Why do we append the length of the message in SHA-1 pre-processing?]
* [https://www.bentasker.co.uk/blog/security/201-why-you-should-be-asking-how-your-passwords-are-stored Why You Shouldn't be using SHA1 or MD5 to Store Passwords]
* [https://codahale.com/how-to-safely-store-a-password/ How To Safely Store A Password]
* [http://blog.ircmaxell.com/2011/08/rainbow-table-is-dead.html The Rainbow Table Is Dead]
* [http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords]

= Инструменты =
== Инструменты для криптоанализа ==
* [https://github.com/hellman/xortool XORTool] — инструмент для криптоанализа XOR-шифра с периодом Внимание: стабильно работает только под Python 2.
* [https://github.com/iagox86/hash_extender Hash Extender] — инструмент для атаки удлинением сообщения

== Инструменты для перебора паролей ==
* [https://hashcat.net/hashcat/ hashcat]
* [https://www.openwall.com/john/ John The Ripper]

Криптография/Асимметричная криптография на примере RSA

2023-02-16T12:04:07Z

Inviz: /* Sage */

= Материалы =

* [https://gist.github.com/Invizory/c08c6a78d28bfed1693f775a75984189 Аннотированная реализация модельной RSA в Sage с занятия]
* Система компьютерной алгебры [https://www.sagemath.org/ SageMath], [http://doc.sagemath.org/html/ru/tutorial/index.html введение] ([http://doc.sagemath.org/html/ru/tutorial/index.html на русском]), [http://doc.sagemath.org/html/en/reference/index.html документация]
* <s>[https://www.dlitz.net/software/pycrypto/api/current/Crypto.PublicKey.RSA-module.html Документация по <code>Crypto.PublicKey.RSA</code> из <code>pycrypto</code>]</s> (deprecated)
* [https://pycryptodome.readthedocs.io/ Документация по <code>pycryptodome</code>]
* [https://crypto.stanford.edu/~dabo/papers/RSA-survey.pdf Twenty Years of Attacks on the RSA Cryptosystem] by Dan Boneh

= Википедия =
* [https://ru.wikipedia.org/wiki/RSA RSA]
* [https://ru.wikipedia.org/wiki/%D0%A1%D1%80%D0%B0%D0%B2%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D0%BC%D0%BE%D0%B4%D1%83%D0%BB%D1%8E Сравнение по модулю]
* [https://ru.wikipedia.org/wiki/%D0%90%D0%BB%D0%B3%D0%BE%D1%80%D0%B8%D1%82%D0%BC%D1%8B_%D0%B1%D1%8B%D1%81%D1%82%D1%80%D0%BE%D0%B3%D0%BE_%D0%B2%D0%BE%D0%B7%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2_%D1%81%D1%82%D0%B5%D0%BF%D0%B5%D0%BD%D1%8C Алгоритмы быстрого возведения в степень по модулю]
* [https://ru.wikipedia.org/wiki/%D0%A4%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F_%D0%AD%D0%B9%D0%BB%D0%B5%D1%80%D0%B0 Функция Эйлера]
* [https://ru.wikipedia.org/wiki/%D0%A2%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%AD%D0%B9%D0%BB%D0%B5%D1%80%D0%B0_(%D1%82%D0%B5%D0%BE%D1%80%D0%B8%D1%8F_%D1%87%D0%B8%D1%81%D0%B5%D0%BB) Теорема Эйлера] и [https://ru.wikipedia.org/wiki/%D0%9C%D0%B0%D0%BB%D0%B0%D1%8F_%D1%82%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%A4%D0%B5%D1%80%D0%BC%D0%B0 малая теорема Ферма]
* [https://ru.wikipedia.org/wiki/%D0%9A%D0%B8%D1%82%D0%B0%D0%B9%D1%81%D0%BA%D0%B0%D1%8F_%D1%82%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1_%D0%BE%D1%81%D1%82%D0%B0%D1%82%D0%BA%D0%B0%D1%85 Китайская теорема об остатках]

= Sage =
* [https://www.sagemath.org Sage]
* На Debian-подобных системах устанавливается с помощью <code>apt install sagemath</code>
* [http://doc.sagemath.org/html/en/reference/rings_standard/sage/arith/misc.html#sage.arith.misc.CRT Китайская теорема об остатках]
* Установка пакетов: <code>sage -python3 -m pip install ...</code>
* Запуск веб-интерфейса для работы с ноутбуками: <code>sage -n jupyterlab</code>

Криптография/Основы криптографии

2023-02-16T11:59:57Z

Inviz:

= Лекция =

* [https://khashaev.ru/assets/secsem/crypto-101/slides-2021.pdf Презентация с лекции]

= Книги для начинающих =
* [https://www.crypto101.io/ Crypto101]

= Подборка статей про хэш-функции и хранение паролей =
* [http://www.mathstat.dal.ca/~selinger/md5collision/ MD5 Collision Demo]
* [https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks Everything you need to know about hash length extension attacks]
* [https://crypto.stackexchange.com/questions/8/why-do-we-append-the-length-of-the-message-in-sha-1-pre-processing Why do we append the length of the message in SHA-1 pre-processing?]
* [https://www.bentasker.co.uk/blog/security/201-why-you-should-be-asking-how-your-passwords-are-stored Why You Shouldn't be using SHA1 or MD5 to Store Passwords]
* [https://codahale.com/how-to-safely-store-a-password/ How To Safely Store A Password]
* [http://blog.ircmaxell.com/2011/08/rainbow-table-is-dead.html The Rainbow Table Is Dead]
* [http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords]

= Инструменты =
== Инструменты для криптоанализа ==
* [https://github.com/hellman/xortool XORTool] — инструмент для криптоанализа XOR-шифра с периодом Внимание: стабильно работает только под Python 2.
* [https://github.com/iagox86/hash_extender Hash Extender] — инструмент для атаки удлинением сообщения

== Инструменты для перебора паролей ==
* [https://hashcat.net/hashcat/ hashcat]
* [https://www.openwall.com/john/ John The Ripper]

Безопасность компьютерных систем (2022)

2023-02-16T11:59:18Z

Inviz:

__NOTOC__
Курс '''Безопасность компьютерных систем''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для группы 319/2.

* '''Когда''': по средам, 8:45
* '''Где''': аудитория 609

Основные темы, которые будут затронуты в курсе 2022/2023 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

== Материалы лекций ==
=== Веб ===

Лекция 1 (7 сентября 2022) [https://disk.yandex.ru/d/1vHZQsPiGMaiJg Вводная лекция]

Лекция 2 (14 сентября 2022) [https://drive.google.com/file/d/1souVS0TAelsM794HHl1Xhnt0fzB4E6Nt/view Введение в предметную область. Фреймворк для обсуждения недостатков]

Лекция 3 и 4 (21 и 28 сентября 2022) [https://drive.google.com/file/d/1vIVnsXi1kt_FYXEmYdu4gXAWNj4-N00U/view Веб-приложения: уязвимости к Injection-атакам. SQL injection, XSS]

Лекция 5, 6 и 7 (5, 12 и 19 октября 2022) [https://drive.google.com/file/d/1xcF5sw845O6_rIM8DAf3fGe-LtOwSb9i/ Валидация сложных форматов данных. FileUpload и SSRF. Устройство веб-сервера. Ретроспектива развития веб-технологий: от CGI к микросервисной архитектуре.]

Лекция 8 (26 октября 2022) [https://drive.google.com/file/d/1d65NYqRFX81eCklnkj9cTArjY8cc338b/ CSRF, CORS, Авторизация]

=== Реверс-инженерия и бинарная эксплуатация ===

Лекция 9 (2 ноября 2022) [https://disk.yandex.ru/i/4KVEx8CXHlylaA Теоретическая лекция про обратную разработку]

Лекция 10 (9 ноября 2022) [https://disk.yandex.ru/i/NkJf5m6VFiF3sg Memory management подсистемы *nix ОС]

Лекция 11 (16 ноября 2022) [https://disk.yandex.ru/i/Q6_xxZLFBcyBQw Линковка и загрузка исполняемых файлов]

Лекция 12 (23 ноября 2022) [https://disk.yandex.ru/i/yJGO-hX9LrPgIQ Устройство аллокатора dlmalloc и уязвимости в нём]

Лекция 13 (30 ноября 2022) [https://disk.yandex.ru/i/E5tYaTGTgXQ8-w Обзор работы современных ОС на уровне ядра, гипервизора и поддержки контейнеризации]

=== Мобильные приложения ===

Лекция 14 и 15 (7 и 14 декабря 2022) [https://drive.google.com/file/d/1F7VygPjqp28ytUlYkzSsn9UX049JqxFt/ Платформы для мобильных приложений, их специфика. Механизмы обеспечения защищенности на уровне мобильной платформы.]

=== Криптография и криптоанализ ===

* Лекция 1 (15 февраля 2023) [[Криптография/Основы криптографии|Основы криптографии]]

Введение в практическую безопасность (2019)/Основы криптографии

2023-02-16T11:58:21Z

Inviz: Содержимое страницы заменено на «Криптография/Основы_криптографии»

[[Криптография/Основы_криптографии]]

Криптография/Основы криптографии

2023-02-16T11:58:03Z

Inviz: Новая страница: «= Лекция = * [https://khashaev.ru/assets/secsem/crypto-101/slides.pdf Презентация с лекции] = Книги для начинающих = *…»

= Лекция =

* [https://khashaev.ru/assets/secsem/crypto-101/slides.pdf Презентация с лекции]

= Книги для начинающих =
* [https://www.crypto101.io/ Crypto101]

= Подборка статей про хэш-функции и хранение паролей =
* [http://www.mathstat.dal.ca/~selinger/md5collision/ MD5 Collision Demo]
* [https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks Everything you need to know about hash length extension attacks]
* [https://crypto.stackexchange.com/questions/8/why-do-we-append-the-length-of-the-message-in-sha-1-pre-processing Why do we append the length of the message in SHA-1 pre-processing?]
* [https://www.bentasker.co.uk/blog/security/201-why-you-should-be-asking-how-your-passwords-are-stored Why You Shouldn't be using SHA1 or MD5 to Store Passwords]
* [https://codahale.com/how-to-safely-store-a-password/ How To Safely Store A Password]
* [http://blog.ircmaxell.com/2011/08/rainbow-table-is-dead.html The Rainbow Table Is Dead]
* [http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords]

= Инструменты =
== Инструменты для криптоанализа ==
* [https://github.com/hellman/xortool XORTool] — инструмент для криптоанализа XOR-шифра с периодом Внимание: стабильно работает только под Python 2.
* [https://github.com/iagox86/hash_extender Hash Extender] — инструмент для атаки удлинением сообщения

== Инструменты для перебора паролей ==
* [https://hashcat.net/hashcat/ hashcat]
* [https://www.openwall.com/john/ John The Ripper]

Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA

2023-02-16T10:15:31Z

Inviz: Содержимое страницы заменено на «Криптография/Асимметричная криптография на примере RSA»

[[Криптография/Асимметричная криптография на примере RSA]]

Практикум на ЭВМ (2022)

2023-02-16T10:14:49Z

Inviz: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по понедельникам, 12:50
* '''Где''': аудитория 604

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2021/2022 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2022)/Бонусное_задание|Бонусное задание]]</s>
* http://club.tasks.prak.seclab.cs.msu.ru/ (deadline - 11.10.2022 23:59)
* http://corporate.tasks.prak.seclab.cs.msu.ru/ (deadline - 19.10.2022 0:53)
* http://bank.tasks.prak.seclab.cs.msu.ru/ (deadline - 19.10.2022 0:53)
* http://pwnitter.tasks.prak.seclab.cs.msu.ru/ (deadline - 19.10.2022 0:53)
* http://shop.tasks.prak.seclab.cs.msu.ru/ (deadline - 22.10.2022 23:59)
* http://hard.tasks.prak.seclab.cs.msu.ru (deadline - 31.10.2022 23:59)
* http://jpg.tasks.prak.seclab.cs.msu.ru (deadline - 31.10.2022 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [https://drive.google.com/file/d/19qIXrbhGyFUAHY-fG3pTlpse4GLLRgr7/view?usp=sharing task 1] nc 91.214.70.136 16971 (deadline - 04.12.2022 18:00)
* [https://drive.google.com/file/d/1Mw_BkNZ-QBkbQrRXLtZLkd3FypMdHp-d/view?usp=sharing task 2] nc 91.214.70.136 16972 (deadline - 04.12.2022 18:00)
* [https://drive.google.com/file/d/1IhG_OD6BDIS4TA_0QXrNxlRqU0xMcV_R/view?usp=sharing task 3] nc 91.214.70.136 16973 (deadline - 04.12.2022 18:00)

* [https://drive.google.com/file/d/1KF992P4Vt3i_7Hr2O6qPCxb5GOzPBXK8/view?usp=sharing task 4] nc tasks.prak.seclab.cs.msu.ru 16974 (deadline - 12.12.2022 18:00)

* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline - 24.12.2022 23:59)
* [https://drive.google.com/file/d/1QcgUUOuKrBB0zce9Er5OCAPIVTQ5jig5/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline - 24.12.2022 23:59)

=== Криптография и криптоанализ ===

* RSA: [https://khashaev.ru/secsem/rsa/#broadcast broadcast], [https://khashaev.ru/secsem/rsa/#common-sense common-sense]

== Материалы ==

=== Веб ===

Семинар 1 (12 сентября 2022) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (19 сентября 2022) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (26 сентября 2022) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (3 октября 2022) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (10 октября 2022) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (17 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (24 октября 2022) [[Веб-безопасность/Уязвимости XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (7 ноября 2022) Бинарные_уязвимости

Семинар 9 (14 ноября 2022) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (21 ноября 2022) [[Бинарные_уязвимости/Off-by-one]]

=== Уязвимости мобильных приложений ===

Семинар 12 декабря 2022 [[Уязвимости_мобильных_приложений/Уязвимости]]

=== Криптография и криптоанализ ===

* Семинар 1 (16 февраля 2021) [[Криптография/Асимметричная криптография на примере RSA]]

=== Сетевая безопасность ===

== Примечания ==
<references/>

Криптография/Асимметричная криптография на примере RSA

2023-02-16T10:14:19Z

Inviz: Новая страница: «= Материалы = * [https://gist.github.com/Invizory/c08c6a78d28bfed1693f775a75984189 Аннотированная реализация модельной…»

= Материалы =

* [https://gist.github.com/Invizory/c08c6a78d28bfed1693f775a75984189 Аннотированная реализация модельной RSA в Sage с занятия]
* Система компьютерной алгебры [https://www.sagemath.org/ SageMath], [http://doc.sagemath.org/html/ru/tutorial/index.html введение] ([http://doc.sagemath.org/html/ru/tutorial/index.html на русском]), [http://doc.sagemath.org/html/en/reference/index.html документация]
* <s>[https://www.dlitz.net/software/pycrypto/api/current/Crypto.PublicKey.RSA-module.html Документация по <code>Crypto.PublicKey.RSA</code> из <code>pycrypto</code>]</s> (deprecated)
* [https://pycryptodome.readthedocs.io/ Документация по <code>pycryptodome</code>]
* [https://crypto.stanford.edu/~dabo/papers/RSA-survey.pdf Twenty Years of Attacks on the RSA Cryptosystem] by Dan Boneh

= Википедия =
* [https://ru.wikipedia.org/wiki/RSA RSA]
* [https://ru.wikipedia.org/wiki/%D0%A1%D1%80%D0%B0%D0%B2%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D0%BC%D0%BE%D0%B4%D1%83%D0%BB%D1%8E Сравнение по модулю]
* [https://ru.wikipedia.org/wiki/%D0%90%D0%BB%D0%B3%D0%BE%D1%80%D0%B8%D1%82%D0%BC%D1%8B_%D0%B1%D1%8B%D1%81%D1%82%D1%80%D0%BE%D0%B3%D0%BE_%D0%B2%D0%BE%D0%B7%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2_%D1%81%D1%82%D0%B5%D0%BF%D0%B5%D0%BD%D1%8C Алгоритмы быстрого возведения в степень по модулю]
* [https://ru.wikipedia.org/wiki/%D0%A4%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F_%D0%AD%D0%B9%D0%BB%D0%B5%D1%80%D0%B0 Функция Эйлера]
* [https://ru.wikipedia.org/wiki/%D0%A2%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%AD%D0%B9%D0%BB%D0%B5%D1%80%D0%B0_(%D1%82%D0%B5%D0%BE%D1%80%D0%B8%D1%8F_%D1%87%D0%B8%D1%81%D0%B5%D0%BB) Теорема Эйлера] и [https://ru.wikipedia.org/wiki/%D0%9C%D0%B0%D0%BB%D0%B0%D1%8F_%D1%82%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%A4%D0%B5%D1%80%D0%BC%D0%B0 малая теорема Ферма]
* [https://ru.wikipedia.org/wiki/%D0%9A%D0%B8%D1%82%D0%B0%D0%B9%D1%81%D0%BA%D0%B0%D1%8F_%D1%82%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1_%D0%BE%D1%81%D1%82%D0%B0%D1%82%D0%BA%D0%B0%D1%85 Китайская теорема об остатках]

= Sage =
* [http://doc.sagemath.org/html/en/reference/rings_standard/sage/arith/misc.html#sage.arith.misc.CRT Китайская теорема об остатках]
* Установка пакетов: <code>sage -python3 -m pip install ...</code>
* Запуск веб-интерфейса для работы с ноутбуками: <code>sage -n jupyterlab</code>

Практикум на ЭВМ (2022)

2023-02-16T10:11:25Z

Inviz: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по понедельникам, 12:50
* '''Где''': аудитория 604

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2021/2022 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2022)/Бонусное_задание|Бонусное задание]]</s>
* http://club.tasks.prak.seclab.cs.msu.ru/ (deadline - 11.10.2022 23:59)
* http://corporate.tasks.prak.seclab.cs.msu.ru/ (deadline - 19.10.2022 0:53)
* http://bank.tasks.prak.seclab.cs.msu.ru/ (deadline - 19.10.2022 0:53)
* http://pwnitter.tasks.prak.seclab.cs.msu.ru/ (deadline - 19.10.2022 0:53)
* http://shop.tasks.prak.seclab.cs.msu.ru/ (deadline - 22.10.2022 23:59)
* http://hard.tasks.prak.seclab.cs.msu.ru (deadline - 31.10.2022 23:59)
* http://jpg.tasks.prak.seclab.cs.msu.ru (deadline - 31.10.2022 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [https://drive.google.com/file/d/19qIXrbhGyFUAHY-fG3pTlpse4GLLRgr7/view?usp=sharing task 1] nc 91.214.70.136 16971 (deadline - 04.12.2022 18:00)
* [https://drive.google.com/file/d/1Mw_BkNZ-QBkbQrRXLtZLkd3FypMdHp-d/view?usp=sharing task 2] nc 91.214.70.136 16972 (deadline - 04.12.2022 18:00)
* [https://drive.google.com/file/d/1IhG_OD6BDIS4TA_0QXrNxlRqU0xMcV_R/view?usp=sharing task 3] nc 91.214.70.136 16973 (deadline - 04.12.2022 18:00)

* [https://drive.google.com/file/d/1KF992P4Vt3i_7Hr2O6qPCxb5GOzPBXK8/view?usp=sharing task 4] nc tasks.prak.seclab.cs.msu.ru 16974 (deadline - 12.12.2022 18:00)

* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline - 24.12.2022 23:59)
* [https://drive.google.com/file/d/1QcgUUOuKrBB0zce9Er5OCAPIVTQ5jig5/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline - 24.12.2022 23:59)

=== Криптография и криптоанализ ===

* RSA: [https://khashaev.ru/secsem/rsa/#broadcast broadcast], [https://khashaev.ru/secsem/rsa/#common-sense common-sense]

== Материалы ==

=== Веб ===

Семинар 1 (12 сентября 2022) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (19 сентября 2022) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (26 сентября 2022) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (3 октября 2022) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (10 октября 2022) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (17 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (24 октября 2022) [[Веб-безопасность/Уязвимости XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (7 ноября 2022) Бинарные_уязвимости

Семинар 9 (14 ноября 2022) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (21 ноября 2022) [[Бинарные_уязвимости/Off-by-one]]

=== Уязвимости мобильных приложений ===

Семинар 12 декабря 2022 [[Уязвимости_мобильных_приложений/Уязвимости]]

=== Криптография и криптоанализ ===

* Семинар 1 (16 февраля 2021) [[Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA]]

=== Сетевая безопасность ===

== Примечания ==
<references/>

Практикум на ЭВМ (2022)

2023-02-16T10:08:54Z

Inviz: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по понедельникам, 12:50
* '''Где''': аудитория 604

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2021/2022 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2022)/Бонусное_задание|Бонусное задание]]</s>
* http://club.tasks.prak.seclab.cs.msu.ru/ (deadline - 11.10.2022 23:59)
* http://corporate.tasks.prak.seclab.cs.msu.ru/ (deadline - 19.10.2022 0:53)
* http://bank.tasks.prak.seclab.cs.msu.ru/ (deadline - 19.10.2022 0:53)
* http://pwnitter.tasks.prak.seclab.cs.msu.ru/ (deadline - 19.10.2022 0:53)
* http://shop.tasks.prak.seclab.cs.msu.ru/ (deadline - 22.10.2022 23:59)
* http://hard.tasks.prak.seclab.cs.msu.ru (deadline - 31.10.2022 23:59)
* http://jpg.tasks.prak.seclab.cs.msu.ru (deadline - 31.10.2022 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [https://drive.google.com/file/d/19qIXrbhGyFUAHY-fG3pTlpse4GLLRgr7/view?usp=sharing task 1] nc 91.214.70.136 16971 (deadline - 04.12.2022 18:00)
* [https://drive.google.com/file/d/1Mw_BkNZ-QBkbQrRXLtZLkd3FypMdHp-d/view?usp=sharing task 2] nc 91.214.70.136 16972 (deadline - 04.12.2022 18:00)
* [https://drive.google.com/file/d/1IhG_OD6BDIS4TA_0QXrNxlRqU0xMcV_R/view?usp=sharing task 3] nc 91.214.70.136 16973 (deadline - 04.12.2022 18:00)

* [https://drive.google.com/file/d/1KF992P4Vt3i_7Hr2O6qPCxb5GOzPBXK8/view?usp=sharing task 4] nc tasks.prak.seclab.cs.msu.ru 16974 (deadline - 12.12.2022 18:00)

* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline - 24.12.2022 23:59)
* [https://drive.google.com/file/d/1QcgUUOuKrBB0zce9Er5OCAPIVTQ5jig5/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline - 24.12.2022 23:59)

=== Криптография и криптоанализ ===

== Материалы ==

=== Веб ===

Семинар 1 (12 сентября 2022) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (19 сентября 2022) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (26 сентября 2022) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (3 октября 2022) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (10 октября 2022) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (17 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (24 октября 2022) [[Веб-безопасность/Уязвимости XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (7 ноября 2022) Бинарные_уязвимости

Семинар 9 (14 ноября 2022) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (21 ноября 2022) [[Бинарные_уязвимости/Off-by-one]]

=== Уязвимости мобильных приложений ===

Семинар 12 декабря 2022 [[Уязвимости_мобильных_приложений/Уязвимости]]

=== Криптография и криптоанализ ===

* Семинар 1 (16 февраля 2021) [[Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA]]

=== Сетевая безопасность ===

== Примечания ==
<references/>

Безопасность компьютерных систем (2022)

2023-02-16T10:07:47Z

Inviz: /* Материалы лекций */ Введение в криптографию

__NOTOC__
Курс '''Безопасность компьютерных систем''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для группы 319/2.

* '''Когда''': по средам, 8:45
* '''Где''': аудитория 609

Основные темы, которые будут затронуты в курсе 2022/2023 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

== Материалы лекций ==
=== Веб ===

Лекция 1 (7 сентября 2022) [https://disk.yandex.ru/d/1vHZQsPiGMaiJg Вводная лекция]

Лекция 2 (14 сентября 2022) [https://drive.google.com/file/d/1souVS0TAelsM794HHl1Xhnt0fzB4E6Nt/view Введение в предметную область. Фреймворк для обсуждения недостатков]

Лекция 3 и 4 (21 и 28 сентября 2022) [https://drive.google.com/file/d/1vIVnsXi1kt_FYXEmYdu4gXAWNj4-N00U/view Веб-приложения: уязвимости к Injection-атакам. SQL injection, XSS]

Лекция 5, 6 и 7 (5, 12 и 19 октября 2022) [https://drive.google.com/file/d/1xcF5sw845O6_rIM8DAf3fGe-LtOwSb9i/ Валидация сложных форматов данных. FileUpload и SSRF. Устройство веб-сервера. Ретроспектива развития веб-технологий: от CGI к микросервисной архитектуре.]

Лекция 8 (26 октября 2022) [https://drive.google.com/file/d/1d65NYqRFX81eCklnkj9cTArjY8cc338b/ CSRF, CORS, Авторизация]

=== Реверс-инженерия и бинарная эксплуатация ===

Лекция 9 (2 ноября 2022) [https://disk.yandex.ru/i/4KVEx8CXHlylaA Теоретическая лекция про обратную разработку]

Лекция 10 (9 ноября 2022) [https://disk.yandex.ru/i/NkJf5m6VFiF3sg Memory management подсистемы *nix ОС]

Лекция 11 (16 ноября 2022) [https://disk.yandex.ru/i/Q6_xxZLFBcyBQw Линковка и загрузка исполняемых файлов]

Лекция 12 (23 ноября 2022) [https://disk.yandex.ru/i/yJGO-hX9LrPgIQ Устройство аллокатора dlmalloc и уязвимости в нём]

Лекция 13 (30 ноября 2022) [https://disk.yandex.ru/i/E5tYaTGTgXQ8-w Обзор работы современных ОС на уровне ядра, гипервизора и поддержки контейнеризации]

=== Мобильные приложения ===

Лекция 14 и 15 (7 и 14 декабря 2022) [https://drive.google.com/file/d/1F7VygPjqp28ytUlYkzSsn9UX049JqxFt/ Платформы для мобильных приложений, их специфика. Механизмы обеспечения защищенности на уровне мобильной платформы.]

=== Криптография и криптоанализ ===

* Лекция 1 (15 февраля 2023) [http://khashaev.ru/assets/secsem/crypto-101/slides-2021.pdf Введение в криптографию]

Дополнительные главы практической безопасности (2022)/Задания

2022-04-15T18:39:26Z

Inviz:

* [[Дополнительные_главы_практической_безопасности_(2022)/Задания по XXE|Задания по XXE]]
* Хотя рождество ещё не скоро, у нас тут уже заранее работает [http://christmas.tasks.cyberschool.msu.ru/ сайт, позволяющий проверить, ждёт ли вас подарок на рождество]. Может это будет флаг?? Исходный код php-файла на этом сайте можно посмотреть, заменив расширение на <code>.phps</code>. Этот таск стоит '''100''' баллов. Дедлаин по нему: '''18 мая, 23:59'''

==== Формат заданий ====

В каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему. Для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаги могут иметь разную стоимость. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

==== Сдача флагов ====

Флаги нужно сдавать в [https://dopglavy.cyberschool.msu.ru/ принимающую систему]. Флаги могут время от времени меняться, если вы получили флаг, но он не сдаётся, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

==== Поломка заданий ====

Поломка не исключена, если задание не работает, или вы думаете что что-то работает не так, как должно, пишите в чат или мне в телеграм @inviz.

Дополнительные главы практической безопасности (2022)/Задания

2022-04-15T18:12:39Z

Inviz:

* [[Дополнительные_главы_практической_безопасности_(2022)/Задания по XXE|Задания по XXE]]
* Хотя рождество ещё не скоро, у нас тут уже заранее работает [http://christmas.tasks.course.secsem.ru/ сайт, позволяющий проверить, ждёт ли вас подарок на рождество]. Может это будет флаг?? Исходный код php-файла на этом сайте можно посмотреть, заменив расширение на <code>.phps</code>. Этот таск стоит '''100''' баллов. Дедлаин по нему: '''18 мая, 23:59'''

==== Формат заданий ====

В каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему. Для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаги могут иметь разную стоимость. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

==== Сдача флагов ====

Флаги нужно сдавать в [https://dopglavy.cyberschool.msu.ru/ принимающую систему]. Флаги могут время от времени меняться, если вы получили флаг, но он не сдаётся, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

==== Поломка заданий ====

Поломка не исключена, если задание не работает, или вы думаете что что-то работает не так, как должно, пишите в чат или мне в телеграм @inviz.

Дополнительные главы практической безопасности (2022)/Задания по XXE

2022-04-15T18:04:41Z

Inviz:

Первый флаг можно найти в приложении http://xxe-indirect.tasks.cyberschool.msu.ru/, он в файле <code>/opt/src/flag</code>. В этом приложении нет флагов кроме этого обязательного. Также, флаги стоит поискать в приложении http://xxe-oob.tasks.cyberschool.msu.ru/ (в нём стоит попробовать получить содержимое <code>/etc/privateinfo.txt</code>) и в [http://xxe-shop.tasks.cyberschool.msu.ru/ этом интернет-магазине]. В последнем 2 обязательных флага, подсказки где они стоит искать на главной странице, для их получения стоит попробовать использовать error-based эксплуатацию XXE. Кроме того, для эксплуатации в последних двух сервисах может помочь такая особенность XML-парсера Java как выдача листинга директории при чтении её как файла.

Наконец, глянуть нет ли случайно флага можно в файле <code>/srv/knowledge/information.txt</code> на сервере, на котором крутится [http://fire.tasks.cyberschool.msu.ru/ этот сайт].

Всего в заданиях на этой странице '''5''' обязательных флагов, суммарной стоимостью '''800''' баллов.

Дедлаин по этим таскам: '''18 мая, 23:59'''

Практикум на ЭВМ (2020)

2021-03-12T16:11:52Z

Inviz: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 612

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

=== Веб ===

Задания по теме Веб выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main__

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

* <s>[[Практикум_на_ЭВМ_(2020)/Бонусное_задание|Бонусное задание]]</s>

* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* http://seeker.shanton.ru:8081, дамп контейнера - https://yadi.sk/d/BV0UynXuOJmnBg (deadline - 23.12.2020 1:53)
* http://shop.tasks.prak.seclab.cs.msu.ru (deadline - 23.12.2020 1:53)
* http://tiny.dong.solutions:28080 (нужно использовать droog@tiny.dong.solutions) (deadline - 23.12.2020 1:53)

=== Реверс-инжиниринг и бинарная эксплуатация ===

Задания также выполнены в формате task-based CTF.

* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1ZImdhu0o6KHdCoz6O8n2CD2FWa2Wk0js/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1R55Q3Czxd4Wu_hVP1lAK2vSkJcxmh9wg/view?usp=sharing task 7] nc tasks.prak.seclab.cs.msu.ru 16967 (deadline 21.12.2020 0:00)

=== Криптография и криптоанализ ===

* RSA: [https://khashaev.ru/secsem/rsa/#broadcast broadcast], [https://khashaev.ru/secsem/rsa/#common-sense common-sense]

=== Сетевая безопасность ===

=== Мобильные приложения ===

Обход проверки root-доступа [[Root_check_bypass]]

== Материалы ==

=== Веб ===

Семинар 1 (17 сентября 2020) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (24 сентября 2020) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (1 октября 2020) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (8 октября 2020) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (15 октября 2020) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (22 октября 2020) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (29 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (5 ноября 2020) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 9 (12 ноября 2020) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (19 ноября 2020) [[Бинарные_уязвимости/Off-by-one]]

Семинар 11 (26 ноября 2020) [[Бинарные_уязвимости/House-of-force]]

Семинар 12 (3 декабря 2020) [[Бинарные_уязвимости/cve-2019-5782]]

=== Уязвимости мобильных приложений ===

Семинар 14 (10 декабря 2020) [[Уязвимости_мобильных_приложений/1]]

Семинар 15 (17 декабря 2020) [[Уязвимости_мобильных_приложений/2]]

=== Криптография и криптоанализ ===
Семинар 1 (15 февраля 2021) [[Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA]]

Семинар 2 (1 марта 2021) [[Криптография/Блочные шифры. Атаки на блочные шифры]]

=== Сетевая безопасность ===

== Примечания ==
<references/>

Безопасность компьютерных систем (2020)

2021-02-18T09:59:33Z

Inviz: /* Криптография и криптоанализ */

__NOTOC__
Курс '''Безопасность компьютерных систем''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для группы 319/2.

* '''Когда''': по четвергам, 14:30
* '''Где''': аудитория 612

Основные темы, которые будут затронуты в курсе 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

== Материалы лекций ==
=== Веб ===

Лекция 1 (10 сентября 2020) [[Вводная лекция]]

Лекция 2 (17 сентября 2020) [https://drive.google.com/file/d/1_NSEFC_j7eodEc8NXzimc9o6DDbSWnV0/ Введение в предметную область. Фреймворк для обсуждения недостатков]

Лекция 3 (24 сентября 2020) [https://drive.google.com/file/d/16g79SdsV4g9G2myqvpPVbNc8DnGYr1tZ/ Веб-приложения: уязвимости к Injection-атакам]

Лекция 4 (1 октября 2020) [https://drive.google.com/file/d/1tlo4YXwpTHWC3gASOW6vjQDbiYYH7fjZ/ Ретроспектива развития веб-технологий: от CGI к микросервисной архитектуре. XSS]

Лекция 5 (8 октября 2020) [https://drive.google.com/file/d/1UDHxj2USVyfzHng8Cw0OkHJ1I-3vKJRS/ Веб-приложения: валидация сложных форматов данных, FileUpload и SSRF]

Лекция 6 (15 октября 2020) [https://drive.google.com/file/d/13pwYGKEmGcZVTF5bHR_cL9i3t2C22Bxy/ Веб-приложения: атаки на пользователей, аутентификация и управление сессиями]

Лекция 7 (22 октября 2020) [https://drive.google.com/file/d/13pwYGKEmGcZVTF5bHR_cL9i3t2C22Bxy/ Веб-приложения: CSRF, CORS, авторизация пользователей и микросервисов (c 10-го слайда)]

Лекция 8 (29 октября 2020) [https://drive.google.com/file/d/1MlcjbQI-oBqw5ylLYZhys3IW7wnCxY1u/ Веб-приложения: реальные истории дорогих недостатков]

=== Реверс-инженерия и бинарная эксплуатация ===

Лекция 9 (5 ноября 2020) [https://drive.google.com/file/d/15k473KterBrwNooV5qmqKp-RX8De3ZMs/ Бинарные уязвимости: введение, типы уязвимостей порчи памяти, переполнение стека, форматная строка, off by one. Case study: HeartBleed]

Лекция 10 (12 ноября 2020) [https://drive.google.com/file/d/1W6cnBw9IkGku92IE9WvLXcqUhzNJFr13/ Бинарные уязвимости: устройство аллокаторов, уязвимости класса heap overflow.]

Лекция 11 (19 ноября 2020) [https://yadi.sk/d/b-S1rNDG8TAj7g Бинарные уязвимости: уязвимости класса LPE, VM escape.]

Лекция 12 (26 ноября 2020) [https://yadi.sk/i/GAJozmNbTbMDTg Бинарные уязвимости: защита от эксплуатации уязвимостей (exploit mitigations).]

=== Мобильные приложения ===
Лекция 13 (3 декабря 2020) [https://drive.google.com/file/d/1aupgrFIBgzlNNeAQ5c4OXsaMgCLXOMR6/ Мобильные приложения: архитектура безопасности ОС для мобильных приложений.]

Лекция 14 (10 декабря 2020) [https://drive.google.com/file/d/1tYJutNa7HIzLp_6ns-gwq7XwFQyyUr74/ Защищенность мобильных приложений.]

Лекция 15 (17 декабря 2020) [https://yadi.sk/d/72XXNghPgtDlhA Защищённые системы.]

=== Криптография и криптоанализ ===

* Лекция 1 (8 февраля 2020) [http://khashaev.ru/assets/secsem/crypto-101/slides-2021.pdf Введение в криптографию]

=== Сетевая безопасность ===

Безопасность компьютерных систем (2020)

2021-02-18T09:59:03Z

Inviz: /* Криптография и криптоанализ */

__NOTOC__
Курс '''Безопасность компьютерных систем''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для группы 319/2.

* '''Когда''': по четвергам, 14:30
* '''Где''': аудитория 612

Основные темы, которые будут затронуты в курсе 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

== Материалы лекций ==
=== Веб ===

Лекция 1 (10 сентября 2020) [[Вводная лекция]]

Лекция 2 (17 сентября 2020) [https://drive.google.com/file/d/1_NSEFC_j7eodEc8NXzimc9o6DDbSWnV0/ Введение в предметную область. Фреймворк для обсуждения недостатков]

Лекция 3 (24 сентября 2020) [https://drive.google.com/file/d/16g79SdsV4g9G2myqvpPVbNc8DnGYr1tZ/ Веб-приложения: уязвимости к Injection-атакам]

Лекция 4 (1 октября 2020) [https://drive.google.com/file/d/1tlo4YXwpTHWC3gASOW6vjQDbiYYH7fjZ/ Ретроспектива развития веб-технологий: от CGI к микросервисной архитектуре. XSS]

Лекция 5 (8 октября 2020) [https://drive.google.com/file/d/1UDHxj2USVyfzHng8Cw0OkHJ1I-3vKJRS/ Веб-приложения: валидация сложных форматов данных, FileUpload и SSRF]

Лекция 6 (15 октября 2020) [https://drive.google.com/file/d/13pwYGKEmGcZVTF5bHR_cL9i3t2C22Bxy/ Веб-приложения: атаки на пользователей, аутентификация и управление сессиями]

Лекция 7 (22 октября 2020) [https://drive.google.com/file/d/13pwYGKEmGcZVTF5bHR_cL9i3t2C22Bxy/ Веб-приложения: CSRF, CORS, авторизация пользователей и микросервисов (c 10-го слайда)]

Лекция 8 (29 октября 2020) [https://drive.google.com/file/d/1MlcjbQI-oBqw5ylLYZhys3IW7wnCxY1u/ Веб-приложения: реальные истории дорогих недостатков]

=== Реверс-инженерия и бинарная эксплуатация ===

Лекция 9 (5 ноября 2020) [https://drive.google.com/file/d/15k473KterBrwNooV5qmqKp-RX8De3ZMs/ Бинарные уязвимости: введение, типы уязвимостей порчи памяти, переполнение стека, форматная строка, off by one. Case study: HeartBleed]

Лекция 10 (12 ноября 2020) [https://drive.google.com/file/d/1W6cnBw9IkGku92IE9WvLXcqUhzNJFr13/ Бинарные уязвимости: устройство аллокаторов, уязвимости класса heap overflow.]

Лекция 11 (19 ноября 2020) [https://yadi.sk/d/b-S1rNDG8TAj7g Бинарные уязвимости: уязвимости класса LPE, VM escape.]

Лекция 12 (26 ноября 2020) [https://yadi.sk/i/GAJozmNbTbMDTg Бинарные уязвимости: защита от эксплуатации уязвимостей (exploit mitigations).]

=== Мобильные приложения ===
Лекция 13 (3 декабря 2020) [https://drive.google.com/file/d/1aupgrFIBgzlNNeAQ5c4OXsaMgCLXOMR6/ Мобильные приложения: архитектура безопасности ОС для мобильных приложений.]

Лекция 14 (10 декабря 2020) [https://drive.google.com/file/d/1tYJutNa7HIzLp_6ns-gwq7XwFQyyUr74/ Защищенность мобильных приложений.]

Лекция 15 (17 декабря 2020) [https://yadi.sk/d/72XXNghPgtDlhA Защищённые системы.]

=== Криптография и криптоанализ ===

[http://khashaev.ru/assets/secsem/crypto-101/slides-2021.pdf Введение в криптографию]

=== Сетевая безопасность ===

Практикум на ЭВМ (2020)

2021-02-16T17:06:08Z

Inviz: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 612

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

=== Веб ===

Задания по теме Веб выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main__

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

* <s>[[Практикум_на_ЭВМ_(2020)/Бонусное_задание|Бонусное задание]]</s>

* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* http://seeker.shanton.ru:8081, дамп контейнера - https://yadi.sk/d/BV0UynXuOJmnBg (deadline - 23.12.2020 1:53)
* http://shop.tasks.prak.seclab.cs.msu.ru (deadline - 23.12.2020 1:53)
* http://tiny.dong.solutions:28080 (нужно использовать droog@tiny.dong.solutions) (deadline - 23.12.2020 1:53)

=== Реверс-инжиниринг и бинарная эксплуатация ===

Задания также выполнены в формате task-based CTF.

* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1ZImdhu0o6KHdCoz6O8n2CD2FWa2Wk0js/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1R55Q3Czxd4Wu_hVP1lAK2vSkJcxmh9wg/view?usp=sharing task 7] nc tasks.prak.seclab.cs.msu.ru 16967 (deadline 21.12.2020 0:00)

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

=== Мобильные приложения ===

Обход проверки root-доступа [[Root_check_bypass]]

== Материалы ==

=== Веб ===

Семинар 1 (17 сентября 2020) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (24 сентября 2020) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (1 октября 2020) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (8 октября 2020) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (15 октября 2020) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (22 октября 2020) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (29 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (5 ноября 2020) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 9 (12 ноября 2020) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (19 ноября 2020) [[Бинарные_уязвимости/Off-by-one]]

Семинар 11 (26 ноября 2020) [[Бинарные_уязвимости/House-of-force]]

Семинар 12 (3 декабря 2020) [[Бинарные_уязвимости/cve-2019-5782]]

=== Уязвимости мобильных приложений ===

Семинар 14 (10 декабря 2020) [[Уязвимости_мобильных_приложений/1]]

Семинар 15 (17 декабря 2020) [[Уязвимости_мобильных_приложений/2]]

=== Криптография и криптоанализ ===
Семинар 1 (15 февраля 2021) [[Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA]]

=== Сетевая безопасность ===

== Примечания ==
<references/>

Практикум на ЭВМ (2020)

2021-02-16T17:06:00Z

Inviz: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 612

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

=== Веб ===

Задания по теме Веб выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main__

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

* <s>[[Практикум_на_ЭВМ_(2020)/Бонусное_задание|Бонусное задание]]</s>

* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* http://seeker.shanton.ru:8081, дамп контейнера - https://yadi.sk/d/BV0UynXuOJmnBg (deadline - 23.12.2020 1:53)
* http://shop.tasks.prak.seclab.cs.msu.ru (deadline - 23.12.2020 1:53)
* http://tiny.dong.solutions:28080 (нужно использовать droog@tiny.dong.solutions) (deadline - 23.12.2020 1:53)

=== Реверс-инжиниринг и бинарная эксплуатация ===

Задания также выполнены в формате task-based CTF.

* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1ZImdhu0o6KHdCoz6O8n2CD2FWa2Wk0js/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1R55Q3Czxd4Wu_hVP1lAK2vSkJcxmh9wg/view?usp=sharing task 7] nc tasks.prak.seclab.cs.msu.ru 16967 (deadline 21.12.2020 0:00)

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

=== Мобильные приложения ===

Обход проверки root-доступа [[Root_check_bypass]]

== Материалы ==

=== Веб ===

Семинар 1 (17 сентября 2020) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (24 сентября 2020) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (1 октября 2020) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (8 октября 2020) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (15 октября 2020) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (22 октября 2020) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (29 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (5 ноября 2020) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 9 (12 ноября 2020) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (19 ноября 2020) [[Бинарные_уязвимости/Off-by-one]]

Семинар 11 (26 ноября 2020) [[Бинарные_уязвимости/House-of-force]]

Семинар 12 (3 декабря 2020) [[Бинарные_уязвимости/cve-2019-5782]]

=== Уязвимости мобильных приложений ===

Семинар 14 (10 декабря 2020) [[Уязвимости_мобильных_приложений/1]]

Семинар 15 (17 декабря 2020) [[Уязвимости_мобильных_приложений/2]]

=== Криптография и криптоанализ ===
- Семинар 1 (15 февраля 2021) [[Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA]]

=== Сетевая безопасность ===

== Примечания ==
<references/>

Практикум на ЭВМ (2020)

2021-02-16T17:05:27Z

Inviz: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 612

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

=== Веб ===

Задания по теме Веб выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main__

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

* <s>[[Практикум_на_ЭВМ_(2020)/Бонусное_задание|Бонусное задание]]</s>

* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* http://seeker.shanton.ru:8081, дамп контейнера - https://yadi.sk/d/BV0UynXuOJmnBg (deadline - 23.12.2020 1:53)
* http://shop.tasks.prak.seclab.cs.msu.ru (deadline - 23.12.2020 1:53)
* http://tiny.dong.solutions:28080 (нужно использовать droog@tiny.dong.solutions) (deadline - 23.12.2020 1:53)

=== Реверс-инжиниринг и бинарная эксплуатация ===

Задания также выполнены в формате task-based CTF.

* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1ZImdhu0o6KHdCoz6O8n2CD2FWa2Wk0js/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1R55Q3Czxd4Wu_hVP1lAK2vSkJcxmh9wg/view?usp=sharing task 7] nc tasks.prak.seclab.cs.msu.ru 16967 (deadline 21.12.2020 0:00)

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

=== Мобильные приложения ===

Обход проверки root-доступа [[Root_check_bypass]]

== Материалы ==

=== Веб ===

Семинар 1 (17 сентября 2020) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (24 сентября 2020) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (1 октября 2020) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (8 октября 2020) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (15 октября 2020) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (22 октября 2020) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (29 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (5 ноября 2020) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 9 (12 ноября 2020) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (19 ноября 2020) [[Бинарные_уязвимости/Off-by-one]]

Семинар 11 (26 ноября 2020) [[Бинарные_уязвимости/House-of-force]]

Семинар 12 (3 декабря 2020) [[Бинарные_уязвимости/cve-2019-5782]]

=== Уязвимости мобильных приложений ===

Семинар 14 (10 декабря 2020) [[Уязвимости_мобильных_приложений/1]]

Семинар 15 (17 декабря 2020) [[Уязвимости_мобильных_приложений/2]]

=== Криптография и криптоанализ ===
- [[Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA]]

=== Сетевая безопасность ===

== Примечания ==
<references/>

Практикум на ЭВМ (2020)

2021-02-16T17:05:20Z

Inviz: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 612

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

=== Веб ===

Задания по теме Веб выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main__

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

* <s>[[Практикум_на_ЭВМ_(2020)/Бонусное_задание|Бонусное задание]]</s>

* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* http://seeker.shanton.ru:8081, дамп контейнера - https://yadi.sk/d/BV0UynXuOJmnBg (deadline - 23.12.2020 1:53)
* http://shop.tasks.prak.seclab.cs.msu.ru (deadline - 23.12.2020 1:53)
* http://tiny.dong.solutions:28080 (нужно использовать droog@tiny.dong.solutions) (deadline - 23.12.2020 1:53)

=== Реверс-инжиниринг и бинарная эксплуатация ===

Задания также выполнены в формате task-based CTF.

* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1ZImdhu0o6KHdCoz6O8n2CD2FWa2Wk0js/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1R55Q3Czxd4Wu_hVP1lAK2vSkJcxmh9wg/view?usp=sharing task 7] nc tasks.prak.seclab.cs.msu.ru 16967 (deadline 21.12.2020 0:00)

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

=== Мобильные приложения ===

Обход проверки root-доступа [[Root_check_bypass]]

== Материалы ==

=== Веб ===

Семинар 1 (17 сентября 2020) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (24 сентября 2020) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (1 октября 2020) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (8 октября 2020) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (15 октября 2020) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (22 октября 2020) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (29 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (5 ноября 2020) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 9 (12 ноября 2020) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (19 ноября 2020) [[Бинарные_уязвимости/Off-by-one]]

Семинар 11 (26 ноября 2020) [[Бинарные_уязвимости/House-of-force]]

Семинар 12 (3 декабря 2020) [[Бинарные_уязвимости/cve-2019-5782]]

=== Уязвимости мобильных приложений ===

Семинар 14 (10 декабря 2020) [[Уязвимости_мобильных_приложений/1]]

Семинар 15 (17 декабря 2020) [[Уязвимости_мобильных_приложений/2]]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

== Примечания ==
<references/>

Практикум на ЭВМ (2020)

2021-02-15T15:03:42Z

Inviz: /* Криптография и криптоанализ */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 612

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

=== Веб ===

Задания по теме Веб выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main__

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

* <s>[[Практикум_на_ЭВМ_(2020)/Бонусное_задание|Бонусное задание]]</s>

* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* http://seeker.shanton.ru:8081, дамп контейнера - https://yadi.sk/d/BV0UynXuOJmnBg (deadline - 23.12.2020 1:53)
* http://shop.tasks.prak.seclab.cs.msu.ru (deadline - 23.12.2020 1:53)
* http://tiny.dong.solutions:28080 (нужно использовать droog@tiny.dong.solutions) (deadline - 23.12.2020 1:53)

=== Реверс-инжиниринг и бинарная эксплуатация ===

Задания также выполнены в формате task-based CTF.

* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1ZImdhu0o6KHdCoz6O8n2CD2FWa2Wk0js/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1R55Q3Czxd4Wu_hVP1lAK2vSkJcxmh9wg/view?usp=sharing task 7] nc tasks.prak.seclab.cs.msu.ru 16967 (deadline 21.12.2020 0:00)

=== Криптография и криптоанализ ===
- [[Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA]]

=== Сетевая безопасность ===

=== Мобильные приложения ===

Обход проверки root-доступа [[Root_check_bypass]]

== Материалы ==

=== Веб ===

Семинар 1 (17 сентября 2020) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (24 сентября 2020) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (1 октября 2020) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (8 октября 2020) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (15 октября 2020) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (22 октября 2020) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (29 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (5 ноября 2020) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 9 (12 ноября 2020) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (19 ноября 2020) [[Бинарные_уязвимости/Off-by-one]]

Семинар 11 (26 ноября 2020) [[Бинарные_уязвимости/House-of-force]]

Семинар 12 (3 декабря 2020) [[Бинарные_уязвимости/cve-2019-5782]]

=== Уязвимости мобильных приложений ===

Семинар 14 (10 декабря 2020) [[Уязвимости_мобильных_приложений/1]]

Семинар 15 (17 декабря 2020) [[Уязвимости_мобильных_приложений/2]]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

== Примечания ==
<references/>

Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA

2021-02-15T12:16:04Z

Inviz: /* Материалы */

= Материалы =

* [https://gist.github.com/Invizory/c08c6a78d28bfed1693f775a75984189 Аннотированная реализация модельной RSA в Sage с занятия]
* Система компьютерной алгебры [https://www.sagemath.org/ SageMath], [http://doc.sagemath.org/html/ru/tutorial/index.html введение] ([http://doc.sagemath.org/html/ru/tutorial/index.html на русском]), [http://doc.sagemath.org/html/en/reference/index.html документация]
* <s>[https://www.dlitz.net/software/pycrypto/api/current/Crypto.PublicKey.RSA-module.html Документация по <code>Crypto.PublicKey.RSA</code> из <code>pycrypto</code>]</s> (deprecated)
* [https://pycryptodome.readthedocs.io/ Документация по <code>pycryptodome</code>]
* [https://crypto.stanford.edu/~dabo/papers/RSA-survey.pdf Twenty Years of Attacks on the RSA Cryptosystem] by Dan Boneh

= Википедия =
* [https://ru.wikipedia.org/wiki/RSA RSA]
* [https://ru.wikipedia.org/wiki/%D0%A1%D1%80%D0%B0%D0%B2%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D0%BC%D0%BE%D0%B4%D1%83%D0%BB%D1%8E Сравнение по модулю]
* [https://ru.wikipedia.org/wiki/%D0%90%D0%BB%D0%B3%D0%BE%D1%80%D0%B8%D1%82%D0%BC%D1%8B_%D0%B1%D1%8B%D1%81%D1%82%D1%80%D0%BE%D0%B3%D0%BE_%D0%B2%D0%BE%D0%B7%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2_%D1%81%D1%82%D0%B5%D0%BF%D0%B5%D0%BD%D1%8C Алгоритмы быстрого возведения в степень по модулю]
* [https://ru.wikipedia.org/wiki/%D0%A4%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F_%D0%AD%D0%B9%D0%BB%D0%B5%D1%80%D0%B0 Функция Эйлера]
* [https://ru.wikipedia.org/wiki/%D0%A2%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%AD%D0%B9%D0%BB%D0%B5%D1%80%D0%B0_(%D1%82%D0%B5%D0%BE%D1%80%D0%B8%D1%8F_%D1%87%D0%B8%D1%81%D0%B5%D0%BB) Теорема Эйлера] и [https://ru.wikipedia.org/wiki/%D0%9C%D0%B0%D0%BB%D0%B0%D1%8F_%D1%82%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%A4%D0%B5%D1%80%D0%BC%D0%B0 малая теорема Ферма]
* [https://ru.wikipedia.org/wiki/%D0%9A%D0%B8%D1%82%D0%B0%D0%B9%D1%81%D0%BA%D0%B0%D1%8F_%D1%82%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1_%D0%BE%D1%81%D1%82%D0%B0%D1%82%D0%BA%D0%B0%D1%85 Китайская теорема об остатках]

= Sage =
* [http://doc.sagemath.org/html/en/reference/rings_standard/sage/arith/misc.html#sage.arith.misc.CRT Китайская теорема об остатках]
* Установка пакетов: <code>sage -python3 -m pip install ...</code>
* Запуск веб-интерфейса для работы с ноутбуками: <code>sage -n jupyterlab</code>

Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA

2021-02-15T12:15:10Z

Inviz: /* Sage */

= Материалы =

* [https://gist.github.com/Invizory/c08c6a78d28bfed1693f775a75984189 Аннотированная реализация модельной RSA в Sage с занятия]
* Система компьютерной алгебры [https://www.sagemath.org/ SageMath], [http://doc.sagemath.org/html/ru/tutorial/index.html введение] ([http://doc.sagemath.org/html/ru/tutorial/index.html на русском]), [http://doc.sagemath.org/html/en/reference/index.html документация]
* [https://www.dlitz.net/software/pycrypto/api/current/Crypto.PublicKey.RSA-module.html Документация по <code>Crypto.PublicKey.RSA</code>]
* [https://crypto.stanford.edu/~dabo/papers/RSA-survey.pdf Twenty Years of Attacks on the RSA Cryptosystem] by Dan Boneh

= Википедия =
* [https://ru.wikipedia.org/wiki/RSA RSA]
* [https://ru.wikipedia.org/wiki/%D0%A1%D1%80%D0%B0%D0%B2%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D0%BC%D0%BE%D0%B4%D1%83%D0%BB%D1%8E Сравнение по модулю]
* [https://ru.wikipedia.org/wiki/%D0%90%D0%BB%D0%B3%D0%BE%D1%80%D0%B8%D1%82%D0%BC%D1%8B_%D0%B1%D1%8B%D1%81%D1%82%D1%80%D0%BE%D0%B3%D0%BE_%D0%B2%D0%BE%D0%B7%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2_%D1%81%D1%82%D0%B5%D0%BF%D0%B5%D0%BD%D1%8C Алгоритмы быстрого возведения в степень по модулю]
* [https://ru.wikipedia.org/wiki/%D0%A4%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F_%D0%AD%D0%B9%D0%BB%D0%B5%D1%80%D0%B0 Функция Эйлера]
* [https://ru.wikipedia.org/wiki/%D0%A2%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%AD%D0%B9%D0%BB%D0%B5%D1%80%D0%B0_(%D1%82%D0%B5%D0%BE%D1%80%D0%B8%D1%8F_%D1%87%D0%B8%D1%81%D0%B5%D0%BB) Теорема Эйлера] и [https://ru.wikipedia.org/wiki/%D0%9C%D0%B0%D0%BB%D0%B0%D1%8F_%D1%82%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%A4%D0%B5%D1%80%D0%BC%D0%B0 малая теорема Ферма]
* [https://ru.wikipedia.org/wiki/%D0%9A%D0%B8%D1%82%D0%B0%D0%B9%D1%81%D0%BA%D0%B0%D1%8F_%D1%82%D0%B5%D0%BE%D1%80%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1_%D0%BE%D1%81%D1%82%D0%B0%D1%82%D0%BA%D0%B0%D1%85 Китайская теорема об остатках]

= Sage =
* [http://doc.sagemath.org/html/en/reference/rings_standard/sage/arith/misc.html#sage.arith.misc.CRT Китайская теорема об остатках]
* Установка пакетов: <code>sage -python3 -m pip install ...</code>
* Запуск веб-интерфейса для работы с ноутбуками: <code>sage -n jupyterlab</code>

Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA

2019-04-10T12:12:40Z

Inviz:

Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA

2019-04-10T12:10:36Z

Inviz:

Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA

2019-04-10T12:08:47Z

Inviz: Добавил релевантные ссылки на википедию

Введение в практическую безопасность (2019)/Основы криптографии

2019-04-09T22:35:37Z

Inviz: /* Инструменты для криптоанализа */

Введение в практическую безопасность (2019)/Основы криптографии

2019-04-09T22:35:21Z

Inviz: /* Инструменты для криптоанализа */

= Лекция =

* [https://khashaev.ru/assets/secsem/crypto-101/slides.pdf Презентация с лекции]

= Книги для начинающих =
* [https://www.crypto101.io/ Crypto101]

= Подборка статей про хэш-функции и хранение паролей =
* [http://www.mathstat.dal.ca/~selinger/md5collision/ MD5 Collision Demo]
* [https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks Everything you need to know about hash length extension attacks]
* [https://crypto.stackexchange.com/questions/8/why-do-we-append-the-length-of-the-message-in-sha-1-pre-processing Why do we append the length of the message in SHA-1 pre-processing?]
* [https://www.bentasker.co.uk/blog/security/201-why-you-should-be-asking-how-your-passwords-are-stored Why You Shouldn't be using SHA1 or MD5 to Store Passwords]
* [https://codahale.com/how-to-safely-store-a-password/ How To Safely Store A Password]
* [http://blog.ircmaxell.com/2011/08/rainbow-table-is-dead.html The Rainbow Table Is Dead]
* [http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords]

= Инструменты =
== Инструменты для криптоанализа ==
* [https://github.com/hellman/xortool XORTool] — инструмент для криптоанализа XOR-шифра с периодом
Внимание: стабильно работает только под Python 2.
* [https://github.com/iagox86/hash_extender Hash Extender] — инструмент для атаки удлинением сообщения

== Инструменты для перебора паролей ==
* [https://hashcat.net/hashcat/ hashcat]
* [https://www.openwall.com/john/ John The Ripper]

Введение в практическую безопасность (2019)

2019-04-09T17:53:55Z

Inviz: /* Криптография */

__NOTOC__
'''Введение в практическую безопасность''' — математический спецкурс по выбору, читается лабораторией интеллектуальных систем кибербезопасности (ЛИСК) кафедры информационной безопасности (ИБ) факультета ВМК.

* '''Когда''': каждый вторник, 18:05, с 12 февраля 2019
* '''Где''': аудитория 685, 2-й учебный корпус, планета Земля, Млечный Путь.
* '''Чат''': https://t.me/joinchat/B4hXs1Z5I6qEtns9fjgbfg или Matrix [https://matrix.to/#/#7fZs5vxGhmxS5KPHDTatYQ:torlan.ru #7fZs5vxGhmxS5KPHDTatYQ:torlan.ru]

Курс рекомендуется студентам, интересующимся практической безопасностью, в особенности — студентам 2-го курса, планирующим распределиться в лабораторию. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты на курсе:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания вместе дадут '''3000'''. Гарантируется, что 3000 и больше будут давать оценку "отлично". Большая часть заданий будет выполнена в формате ctf-тасков<ref>Кстати, у нас есть CTF-команда [[Bushwhackers]], приглашаем вас поиграть с нами!</ref>.

== Задания ==

* [[Введение_в_практическую_безопасность_(2019)/Задания_по_вебу|Задания по вебу]]
* [[/Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей|Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей]]
* [[/Задания по криптографии|Задания по криптографии]]

== Материалы ==

=== Веб ===
* [[Введение_в_практическую_безопасность_(2019)/HTTP,_инструменты_%26_SQL_injection|HTTP, инструменты и SQL injection]] - по теме первого занятия по веб-безопасности
* [[Введение_в_практическую_безопасность_(2019)/Эксплуатация_SQL_injection|Эксплуатация SQL injection]] и [[Введение_в_практическую_безопасность_(2019)/Небезопасная_загрузка_файлов|Небезопасная загрузка файлов]] - по теме второго занятия по веб-безопасности
* [[Введение_в_практическую_безопасность_(2019)/Атаки_на_клиента_веб-приложения_-_CSRF_&_XSS|Атаки на клиента веб-приложения - CSRF и XSS]] - по теме третьего занятия по веб-безопасности

Также может быть полезным [[Введение_в_практическую_безопасность_(2019)/Свой_тестовый_веб-сервер|как поднять свой тестовый веб-сервер]].

Еще про веб-безопасность - Веб-безопасность 101. Курс молодого бойца от Андрея Петухова https://docs.google.com/document/d/13zgZ_CRRHADwxf41mSSSuoJQLkMc67TXxpYLoW6lRak

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[/Реверс-инжиниринг|Реверс-инжиниринг]]
* [[/Бинарная эксплуатация|Бинарная эксплуатация]]

=== Криптография ===

* [[/Основы криптографии|Основы криптографии]]
* [[/Асимметричная криптография на примере RSA|Асимметричная криптография на примере RSA]]

== Примечания ==
<references/>

Введение в практическую безопасность (2019)

2019-04-09T17:53:25Z

Inviz: /* Криптография */

__NOTOC__
'''Введение в практическую безопасность''' — математический спецкурс по выбору, читается лабораторией интеллектуальных систем кибербезопасности (ЛИСК) кафедры информационной безопасности (ИБ) факультета ВМК.

* '''Когда''': каждый вторник, 18:05, с 12 февраля 2019
* '''Где''': аудитория 685, 2-й учебный корпус, планета Земля, Млечный Путь.
* '''Чат''': https://t.me/joinchat/B4hXs1Z5I6qEtns9fjgbfg или Matrix [https://matrix.to/#/#7fZs5vxGhmxS5KPHDTatYQ:torlan.ru #7fZs5vxGhmxS5KPHDTatYQ:torlan.ru]

Курс рекомендуется студентам, интересующимся практической безопасностью, в особенности — студентам 2-го курса, планирующим распределиться в лабораторию. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты на курсе:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания вместе дадут '''3000'''. Гарантируется, что 3000 и больше будут давать оценку "отлично". Большая часть заданий будет выполнена в формате ctf-тасков<ref>Кстати, у нас есть CTF-команда [[Bushwhackers]], приглашаем вас поиграть с нами!</ref>.

== Задания ==

* [[Введение_в_практическую_безопасность_(2019)/Задания_по_вебу|Задания по вебу]]
* [[/Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей|Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей]]
* [[/Задания по криптографии|Задания по криптографии]]

== Материалы ==

=== Веб ===
* [[Введение_в_практическую_безопасность_(2019)/HTTP,_инструменты_%26_SQL_injection|HTTP, инструменты и SQL injection]] - по теме первого занятия по веб-безопасности
* [[Введение_в_практическую_безопасность_(2019)/Эксплуатация_SQL_injection|Эксплуатация SQL injection]] и [[Введение_в_практическую_безопасность_(2019)/Небезопасная_загрузка_файлов|Небезопасная загрузка файлов]] - по теме второго занятия по веб-безопасности
* [[Введение_в_практическую_безопасность_(2019)/Атаки_на_клиента_веб-приложения_-_CSRF_&_XSS|Атаки на клиента веб-приложения - CSRF и XSS]] - по теме третьего занятия по веб-безопасности

Также может быть полезным [[Введение_в_практическую_безопасность_(2019)/Свой_тестовый_веб-сервер|как поднять свой тестовый веб-сервер]].

Еще про веб-безопасность - Веб-безопасность 101. Курс молодого бойца от Андрея Петухова https://docs.google.com/document/d/13zgZ_CRRHADwxf41mSSSuoJQLkMc67TXxpYLoW6lRak

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[/Реверс-инжиниринг|Реверс-инжиниринг]]
* [[/Бинарная эксплуатация|Бинарная эксплуатация]]

=== Криптография ===

* [[/Основы криптографии|Основы криптографии]]
* [[/Введение в асимметричную криптографию на примере RSA|Введение в асимметричную криптографию на примере RSA]]

== Примечания ==
<references/>

Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA

2019-04-09T17:51:06Z

Введение в практическую безопасность (2019)/Задания по криптографии

2019-04-09T17:42:58Z

Inviz: Задачи на RSA

= Общая информация =

* Формат флагов: <code>FLAG{[a-z0-9_]+}</code>.
* Дедлайн: TBD.
* [https://dashboard.course.secsem.ru/ Принимающая система].

= Основы криптографии =
[[Введение в практическую безопасность (2019)/Основы криптографии|Материалы]].

# Найдите флаг в [[Введение в практическую безопасность (2019)/Основы криптографии#Лекция|слайдах презентации к лекции]]. Гарантируется, что он достаточно короткий. Внимание! Перед решением задачи проверьте, что MD5-хэш файла с презентацией совпадает с <code>55aa58a8ef77e5d7da0e21e1d64210d9</code>. В противном случае скачайте файл заново.
# Известно, что [https://khashaev.ru/assets/secsem/crypto-101/text.txt.xor некий текст] зашифрован периодическим XOR-шифром. Восстановите ключ шифрования.

= Асимметричная криптография на примере RSA =
[[Введение в практическую безопасность (2019)/Асимметричная криптография на примере RSA|Материалы]].

Задачи: [https://khashaev.ru/secsem/rsa/#broadcast broadcast], [https://khashaev.ru/secsem/rsa/#common-sense common-sense].

Введение в практическую безопасность (2019)/Задания по криптографии

2019-04-08T00:52:14Z

Inviz: /* Общая информация */

Введение в практическую безопасность (2019)/Задания по криптографии

2019-04-08T00:41:03Z

Inviz: /* Общее */

= Общая информация =

* Формат флагов: <code>FLAG{[a-z0-9_]+}</code>.
* Дедлайн: TBD.

= Основы криптографии =
[[Введение в практическую безопасность (2019)/Основы криптографии|Материалы]].

# Найдите флаг в [[Введение в практическую безопасность (2019)/Основы криптографии#Лекция|слайдах презентации к лекции]]. Гарантируется, что он достаточно короткий. Внимание! Перед решением задачи проверьте, что MD5-хэш файла с презентацией совпадает с <code>55aa58a8ef77e5d7da0e21e1d64210d9</code>. В противном случае скачайте файл заново.
# Известно, что [https://khashaev.ru/assets/secsem/crypto-101/text.txt.xor некий текст] зашифрован периодическим XOR-шифром. Восстановите ключ шифрования.

Введение в практическую безопасность (2019)/Задания по криптографии

2019-04-08T00:38:13Z

Inviz: /* Основы криптографии */

= Общее =

* Формат флагов: <code>FLAG{[a-z0-9_]+}</code>.
* Дедлайн: TBD.

= Основы криптографии =
[[Введение в практическую безопасность (2019)/Основы криптографии|Материалы]].

# Найдите флаг в [[Введение в практическую безопасность (2019)/Основы криптографии#Лекция|слайдах презентации к лекции]]. Гарантируется, что он достаточно короткий. Внимание! Перед решением задачи проверьте, что MD5-хэш файла с презентацией совпадает с <code>55aa58a8ef77e5d7da0e21e1d64210d9</code>. В противном случае скачайте файл заново.
# Известно, что [https://khashaev.ru/assets/secsem/crypto-101/text.txt.xor некий текст] зашифрован периодическим XOR-шифром. Восстановите ключ шифрования.

Введение в практическую безопасность (2019)/Задания по криптографии

2019-04-08T00:34:20Z

Inviz: Добавлены простые задачи по криптографии

= Общее =

* Формат флагов: <code>FLAG{[a-z0-9_]+}</code>.
* Дедлайн: TBD.

= Основы криптографии =
# Найдите флаг в [[Введение в практическую безопасность (2019)/Основы криптографии#Лекция|слайдах презентации к лекции]]. Гарантируется, что он достаточно короткий. Внимание! Перед решением задачи проверьте, что MD5-хэш файла с презентацией совпадает с <code>55aa58a8ef77e5d7da0e21e1d64210d9</code>. В противном случае скачайте файл заново.
# Известно, что [https://khashaev.ru/assets/secsem/crypto-101/text.txt.xor некий текст] зашифрован периодическим XOR-шифром. Восстановите ключ шифрования.