SecSem Wiki - Вклад [ru]

Уязвимости мобильных приложений/Уязвимости

2022-12-11T19:43:24Z

Nastya jane:

ПО, которое нужно скачать/установить к семинару (всё работает под Windows/Linux/Mac Os):

* Эмулятор android:
<pre>
Установить genymotion personal edition (выбрать вариант с VirtualBox, если он не был ранее установлен): https://www.genymotion.com/fun-zone/ (будет необходимо создать учётную запись)
Запустить genymotion. Выбрать тип использования “For personal use”
Нажать + (Add new virtual device)
Зарегистрироваться с использованием созданной ранее учётной записи
Выбрать параметры виртуального девайса:
Android version – 10.0 - API 29
Device model – Custom Phone
Нажать “Next” и скачать образ выбранного виртуального девайса
Запустить образ виртуального девайса
</pre>

* Установить JDK и Java Runtime Environment

* Скачать dex2jar: https://github.com/pxb1988/dex2jar/releases/download/2.0/dex-tools-2.0.zip

* Скачать JD-GUI: http://jd.benow.ca/ или JADX https://github.com/skylot/jadx.

* Установить apktool: https://ibotpeaches.github.io/Apktool/install/.

* Скачать уязвимое приложения для тестов: https://drive.google.com/open?id=17qn9F3dTkYS0_pmfSRlPtC6Y0lhj1S5j

* Клонировать репозиторий (git clone) https://github.com/dineshshetty/Android-InsecureBankv2
Для этого нужно также установить git. Под linux и macOS есть соответствующий пакет.
Под Windows можно взять отсюда https://gitforwindows.org/
* Установить зависимости AndroLabServer
pip install -r Android-InsecureBankv2/AndroLabServer/requirements.txt
Для этого нужно предварительно установить python2.7.9 и pip (https://www.python.org/downloads/ )
С установкой под Windows, возможно, может помочь https://datascience.com.co/how-to-install-python-2-7-and-3-6-in-windows-10-add-python-path-281e7eae62a , там нужно после установки python2.7.9 открыть панель управления и изменить переменные окружения, добавить путь к питону и его скриптам в PATH.

* Скачать и установить в эмулятор приложение SniffIntents (https://drive.google.com/file/d/1C_1Q8ry5hG42XjQ97pq1uIrFnw2F0jCZ/)

После установки проверить, что всё ПО запускается без ошибок (консольные утилиты пока можно запустить без параметров). В случае проблем с установкой под windows можно посмотреть скринкаст https://drive.google.com/drive/folders/11yG5M-hbmUHOg1Pk3C55wlDVamQZveJB или написать в tg: @nastya_jane

Презентация: https://drive.google.com/file/d/11tfwnjU3-FJrHqctoUQgy69l10769iH6/view?usp=sharing

Практикум на ЭВМ (2022)

2022-12-11T09:45:34Z

Nastya jane: /* Уязвимости мобильных приложений */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по понедельникам, 12:50
* '''Где''': аудитория 604

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2021/2022 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2022)/Бонусное_задание|Бонусное задание]]</s>
* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 11.10.2022 23:59)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 19.10.2022 0:53)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru</s> (deadline - 19.10.2022 0:53)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 19.10.2022 0:53)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2022 23:59)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2022 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* <s>[https://drive.google.com/file/d/19qIXrbhGyFUAHY-fG3pTlpse4GLLRgr7/view?usp=sharing task 1]</s> nc 91.214.70.136 16971 (deadline - 04.12.2022 18:00)
* <s>[https://drive.google.com/file/d/1Mw_BkNZ-QBkbQrRXLtZLkd3FypMdHp-d/view?usp=sharing task 2]</s> nc 91.214.70.136 16972 (deadline - 04.12.2022 18:00)
* <s>[https://drive.google.com/file/d/1IhG_OD6BDIS4TA_0QXrNxlRqU0xMcV_R/view?usp=sharing task 3]</s> nc 91.214.70.136 16973 (deadline - 04.12.2022 18:00)

* [https://drive.google.com/file/d/1KF992P4Vt3i_7Hr2O6qPCxb5GOzPBXK8/view?usp=sharing task 4] nc tasks.prak.seclab.cs.msu.ru 16974 (deadline - 12.12.2022 18:00)

* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline - 24.12.2022 23:59)
* [https://drive.google.com/file/d/1QcgUUOuKrBB0zce9Er5OCAPIVTQ5jig5/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline - 24.12.2022 23:59)

=== Криптография и криптоанализ ===

== Материалы ==

=== Веб ===

Семинар 1 (12 сентября 2022) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (19 сентября 2022) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (26 сентября 2022) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (3 октября 2022) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (10 октября 2022) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (17 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (24 октября 2022) [[Веб-безопасность/Уязвимости XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (7 ноября 2022) Бинарные_уязвимости

Семинар 9 (14 ноября 2022) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (21 ноября 2022) [[Бинарные_уязвимости/Off-by-one]]

=== Уязвимости мобильных приложений ===

Семинар 12 декабря 2022 [[Уязвимости_мобильных_приложений/Уязвимости]]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

== Примечания ==
<references/>

Практикум на ЭВМ (2022)

2022-12-11T09:45:17Z

Nastya jane: /* Уязвимости мобильных приложений */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по понедельникам, 12:50
* '''Где''': аудитория 604

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2021/2022 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2022)/Бонусное_задание|Бонусное задание]]</s>
* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 11.10.2022 23:59)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 19.10.2022 0:53)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru</s> (deadline - 19.10.2022 0:53)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 19.10.2022 0:53)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2022 23:59)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2022 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* <s>[https://drive.google.com/file/d/19qIXrbhGyFUAHY-fG3pTlpse4GLLRgr7/view?usp=sharing task 1]</s> nc 91.214.70.136 16971 (deadline - 04.12.2022 18:00)
* <s>[https://drive.google.com/file/d/1Mw_BkNZ-QBkbQrRXLtZLkd3FypMdHp-d/view?usp=sharing task 2]</s> nc 91.214.70.136 16972 (deadline - 04.12.2022 18:00)
* <s>[https://drive.google.com/file/d/1IhG_OD6BDIS4TA_0QXrNxlRqU0xMcV_R/view?usp=sharing task 3]</s> nc 91.214.70.136 16973 (deadline - 04.12.2022 18:00)

* [https://drive.google.com/file/d/1KF992P4Vt3i_7Hr2O6qPCxb5GOzPBXK8/view?usp=sharing task 4] nc tasks.prak.seclab.cs.msu.ru 16974 (deadline - 12.12.2022 18:00)

* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline - 24.12.2022 23:59)
* [https://drive.google.com/file/d/1QcgUUOuKrBB0zce9Er5OCAPIVTQ5jig5/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline - 24.12.2022 23:59)

=== Криптография и криптоанализ ===

== Материалы ==

=== Веб ===

Семинар 1 (12 сентября 2022) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (19 сентября 2022) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (26 сентября 2022) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (3 октября 2022) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (10 октября 2022) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (17 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (24 октября 2022) [[Веб-безопасность/Уязвимости XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (7 ноября 2022) Бинарные_уязвимости

Семинар 9 (14 ноября 2022) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (21 ноября 2022) [[Бинарные_уязвимости/Off-by-one]]

=== Уязвимости мобильных приложений ===

Семинар 12 декабря 2021 [[Уязвимости_мобильных_приложений/Уязвимости]]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

== Примечания ==
<references/>

Практикум на ЭВМ (2021)

2021-12-16T09:33:58Z

Nastya jane: /* Уязвимости мобильных приложений */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 609

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2021/2022 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в принимающую систему. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* [[Практикум_на_ЭВМ_(2021)/Бонусное_задание|Бонусное задание]]
* http://club.tasks.prak.seclab.cs.msu.ru/ (deadline - 12.10.2021 15:53)
* http://corporate.tasks.prak.seclab.cs.msu.ru/ (deadline - 23.10.2021 23:59)
* http://bank.tasks.prak.seclab.cs.msu.ru (deadline - 23.10.2021 23:59)
* http://pwnitter.tasks.prak.seclab.cs.msu.ru/ (deadline - 23.10.2021 23:59)
* http://hard.tasks.prak.seclab.cs.msu.ru/ (deadline - 28.10.2021 15:30)
* http://jpg.tasks.prak.seclab.cs.msu.ru/ (deadline - 28.10.2021 15:30)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [https://drive.google.com/file/d/19qIXrbhGyFUAHY-fG3pTlpse4GLLRgr7/view?usp=sharing task 1] nc 91.214.70.136 16971 (deadline - 22.12.2021 22:30)
* [https://drive.google.com/file/d/1Mw_BkNZ-QBkbQrRXLtZLkd3FypMdHp-d/view?usp=sharing task 2] nc 91.214.70.136 16972 (deadline - 22.12.2021 22:30)
* [https://drive.google.com/file/d/1IhG_OD6BDIS4TA_0QXrNxlRqU0xMcV_R/view?usp=sharing task 3] nc 91.214.70.136 16973 (deadline - 22.12.2021 22:30)

* [https://drive.google.com/file/d/1KF992P4Vt3i_7Hr2O6qPCxb5GOzPBXK8/view?usp=sharing task 4] nc tasks.prak.seclab.cs.msu.ru 16974 (deadline - 22.12.2021 22:30)
* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline - 22.12.2021 22:30)
* [https://drive.google.com/file/d/1QcgUUOuKrBB0zce9Er5OCAPIVTQ5jig5/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline - 22.12.2021 22:30)

== Материалы ==

=== Веб ===

Семинар 1 (9 сентября 2021) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (16 сентября 2021) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (23 сентября 2021) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (30 сентября 2021) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (7 октября 2021) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (14 октября 2021) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (21 октября 2021) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (28 октября 2021) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 10 (22 ноября 2021) [[Бинарные_уязвимости/Stack_overflow]]

=== Уязвимости мобильных приложений ===

Семинар 16 декабря 2021 [[Уязвимости_мобильных_приложений/Уязвимости]]

== Примечания ==
<references/>

Уязвимости мобильных приложений/Уязвимости

2021-12-12T10:24:06Z

Nastya jane: Новая страница: «ПО, которое нужно скачать/установить к семинару (всё работает под Windows/Linux/Mac Os): * Эмулятор…»

Практикум на ЭВМ (2021)

2021-12-12T09:59:42Z

Nastya jane: /* Материалы */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 609

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2021/2022 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в принимающую систему. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* [[Практикум_на_ЭВМ_(2021)/Бонусное_задание|Бонусное задание]]
* http://club.tasks.prak.seclab.cs.msu.ru/ (deadline - 12.10.2021 15:53)
* http://corporate.tasks.prak.seclab.cs.msu.ru/ (deadline - 23.10.2021 23:59)
* http://bank.tasks.prak.seclab.cs.msu.ru (deadline - 23.10.2021 23:59)
* http://pwnitter.tasks.prak.seclab.cs.msu.ru/ (deadline - 23.10.2021 23:59)
* http://hard.tasks.prak.seclab.cs.msu.ru/ (deadline - 28.10.2021 15:30)
* http://jpg.tasks.prak.seclab.cs.msu.ru/ (deadline - 28.10.2021 15:30)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [https://drive.google.com/file/d/19qIXrbhGyFUAHY-fG3pTlpse4GLLRgr7/view?usp=sharing task 1] nc 91.214.70.136 16971 (deadline - 22.12.2021 22:30)
* [https://drive.google.com/file/d/1Mw_BkNZ-QBkbQrRXLtZLkd3FypMdHp-d/view?usp=sharing task 2] nc 91.214.70.136 16972 (deadline - 22.12.2021 22:30)
* [https://drive.google.com/file/d/1IhG_OD6BDIS4TA_0QXrNxlRqU0xMcV_R/view?usp=sharing task 3] nc 91.214.70.136 16973 (deadline - 22.12.2021 22:30)

* [https://drive.google.com/file/d/1KF992P4Vt3i_7Hr2O6qPCxb5GOzPBXK8/view?usp=sharing task 4] nc tasks.prak.seclab.cs.msu.ru 16974 (deadline - 22.12.2021 22:30)
* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline - 22.12.2021 22:30)
* [https://drive.google.com/file/d/1QcgUUOuKrBB0zce9Er5OCAPIVTQ5jig5/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline - 22.12.2021 22:30)

== Материалы ==

=== Веб ===

Семинар 1 (9 сентября 2021) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (16 сентября 2021) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (23 сентября 2021) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (30 сентября 2021) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (7 октября 2021) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (14 октября 2021) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (21 октября 2021) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (28 октября 2021) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 10 (22 ноября 2021) [[Бинарные_уязвимости/Stack_overflow]]

=== Уязвимости мобильных приложений ===

Семинар 16 октября 2021 [[Уязвимости_мобильных_приложений/Уязвимости]]

== Примечания ==
<references/>

Уязвимости мобильных приложений/2

2020-12-17T09:27:50Z

Nastya jane:

Подготовка к семинару:

1. Установить burp и загрузить его сертификат
* Запустить burp, добавить в Proxy listeners 127.0.0.1:8080, если его там нет
* Настроить прокси в браузере (127.0.0.1:8080)
* Зайти на страницу http://burp
* Нажать на CA Certificate -- загрузится сертификат с расширением cacert.der
2. Добавить в genymotion устройство Google Nexus 5X (Android API 8.0 - API 26).
Проверить, что эмулятор запускается с ним.
3. Загрузить архив https://drive.google.com/file/d/1oDd7j06tBeJ9MrUYmU8UKNX_eTZ4j2Rn/ , перетащить его в окошко с эмулятором.

4. Загрузить архив с приложениями https://drive.google.com/file/d/1Bifo86-zlpAtLcC66Sgv_WBxqcrUZmED/

5. Клонировать репозиторий (git clone) https://github.com/dineshshetty/Android-InsecureBankv2
Для этого нужно также установить git. Под linux и macOS есть соответствующий пакет.
Под Windows можно взять отсюда https://gitforwindows.org/
6. Установить зависимости AndroLabServer
pip install -r Android-InsecureBankv2/AndroLabServer/requirements.txt
Для этого нужно предварительно установить python2.7.9 и pip (https://www.python.org/downloads/ )
С установкой под Windows, возможно, может помочь https://datascience.com.co/how-to-install-python-2-7-and-3-6-in-windows-10-add-python-path-281e7eae62a , там нужно после установки python2.7.9 открыть панель управления и изменить переменные окружения, добавить путь к питону и его скриптам в PATH.

7. Скачать и установить в эмулятор приложение SniffIntents (https://drive.google.com/file/d/1C_1Q8ry5hG42XjQ97pq1uIrFnw2F0jCZ/)

Для этого надо будет выполнить сначала adb shell settings put global verifier_verify_adb_installs 0

8. Можно установить jadx и jadx-gui (https://github.com/skylot/jadx) как альтернативу dex2jar+jd-gui

Презентация семинара: https://drive.google.com/file/d/117PRapIrsGQGIJK2KRpxzR9iYbXDcW74/

Уязвимости мобильных приложений/2

2020-12-15T16:08:57Z

Nastya jane:

Уязвимости мобильных приложений/2

2020-12-15T15:56:48Z

Nastya jane:

Подготовка к семинару:

1. Установить burp и загрузить его сертификат
* Запустить burp, добавить в Proxy listeners 127.0.0.1:8080, если его там нет
* Настроить прокси в браузере (127.0.0.1:8080)
* Зайти на страницу http://burp
* Нажать на CA Certificate -- загрузится сертификат с расширением cacert.der
2. Добавить в genymotion устройство Google Nexus 5X (Android API 8.0 - API 26).
Проверить, что эмулятор запускается с ним.
3. Загрузить архив с приложениями https://drive.google.com/file/d/1Bifo86-zlpAtLcC66Sgv_WBxqcrUZmED/

4. Клонировать репозиторий (git clone) https://github.com/dineshshetty/Android-InsecureBankv2
Для этого нужно также установить git. Под linux и macOS есть соответствующий пакет.
Под Windows можно взять отсюда https://gitforwindows.org/
5. Установить зависимости AndroLabServer
pip install -r Android-InsecureBankv2/AndroLabServer/requirements.txt
Для этого нужно предварительно установить python2.7.9 и pip (https://www.python.org/downloads/ )
С установкой под Windows, возможно, может помочь https://datascience.com.co/how-to-install-python-2-7-and-3-6-in-windows-10-add-python-path-281e7eae62a , там нужно после установки python2.7.9 открыть панель управления и изменить переменные окружения, добавить путь к питону и его скриптам в PATH.

6. Скачать и установить в эмулятор приложение SniffIntents (https://drive.google.com/file/d/1C_1Q8ry5hG42XjQ97pq1uIrFnw2F0jCZ/)

Для этого надо будет выполнить сначала adb shell settings put global verifier_verify_adb_installs 0

7. Можно установить jadx и jadx-gui (https://github.com/skylot/jadx) как альтернативу dex2jar+jd-gui

Уязвимости мобильных приложений/2

2020-12-15T11:56:08Z

Nastya jane:

Подготовка к семинару:

1. Установить burp и загрузить его сертификат
* Запустить burp, добавить в Proxy listeners 127.0.0.1:8080, если его там нет
* Настроить прокси в браузере (127.0.0.1:8080)
* Зайти на страницу http://burp
* Нажать на CA Certificate -- загрузится сертификат с расширением cacert.der
2. Добавить в genymotion устройство Google Nexus 5X (Android API 8.0 - API 26).
Проверить, что эмулятор запускается с ним.
3. Загрузить архив с приложениями https://drive.google.com/file/d/1Bifo86-zlpAtLcC66Sgv_WBxqcrUZmED/

4. Клонировать репозиторий (git clone) https://github.com/dineshshetty/Android-InsecureBankv2
Для этого нужно также установить git. Под linux и macOS есть соответствующий пакет.
Под Windows можно взять отсюда https://gitforwindows.org/
5. Установить зависимости AndroLabServer
pip install -r Android-InsecureBankv2/AndroLabServer/requirements.txt
Для этого нужно предварительно установить python2.7.9 и pip (https://www.python.org/downloads/ )
С установкой под Windows, возможно, может помочь https://datascience.com.co/how-to-install-python-2-7-and-3-6-in-windows-10-add-python-path-281e7eae62a , там нужно после установки python2.7.9 открыть панель управления и изменить переменные окружения, добавить путь к питону и его скриптам в PATH.

6. Можно установить jadx и jadx-gui (https://github.com/skylot/jadx) как альтернативу dex2jar+jd-gui

Уязвимости мобильных приложений/2

2020-12-15T11:49:09Z

Nastya jane: Новая страница: «Подготовка к семинару: 1. Установить burp и загрузить его сертификат * Запустить burp, добав…»

Подготовка к семинару:

1. Установить burp и загрузить его сертификат
* Запустить burp, добавить в Proxy listeners 127.0.0.1:8080, если его там нет
* Настроить прокси в браузере (127.0.0.1:8080)
* Зайти на страницу http://burp
* Нажать на CA Certificate -- загрузится сертификат с расширением cacert.der
2. Добавить в genymotion устройство Google Nexus 5X (Android API 8.0 - API 26).
Проверить, что эмулятор запускается с ним.
3. Загрузить архив с приложениями https://drive.google.com/file/d/1Bifo86-zlpAtLcC66Sgv_WBxqcrUZmED/

4. Клонировать репозиторий (git clone) https://github.com/dineshshetty/Android-InsecureBankv2
Для этого нужно также установить git. Под linux и macOS есть соответствующий пакет.
Под Windows можно взять отсюда https://gitforwindows.org/
5. Установить зависимости AndroLabServer
pip install -r Android-InsecureBankv2/AndroLabServer/requirements.txt
Для этого нужно предварительно установить python2.7.9 и pip (https://www.python.org/downloads/ )
С установкой под Windows, возможно, может помочь https://datascience.com.co/how-to-install-python-2-7-and-3-6-in-windows-10-add-python-path-281e7eae62a , там нужно после установки python2.7.9 открыть панель управления и изменить переменные окружения, добавить путь к питону и его скриптам в PATH.

Практикум на ЭВМ (2020)

2020-12-15T11:41:42Z

Nastya jane: /* Уязвимости мобильных приложений */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 612

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

=== Веб ===

Задания по теме Веб выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main__

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

* <s>[[Практикум_на_ЭВМ_(2020)/Бонусное_задание|Бонусное задание]]</s>

* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* http://seeker.shanton.ru/, дамп контейнера - https://yadi.sk/d/BV0UynXuOJmnBg (deadline - 23.12.2020 1:53)
* http://shop.tasks.prak.seclab.cs.msu.ru (deadline - 23.12.2020 1:53)

=== Реверс-инжиниринг и бинарная эксплуатация ===

Задания также выполнены в формате task-based CTF.

* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1ZImdhu0o6KHdCoz6O8n2CD2FWa2Wk0js/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1R55Q3Czxd4Wu_hVP1lAK2vSkJcxmh9wg/view?usp=sharing task 7] nc tasks.prak.seclab.cs.msu.ru 16967 (deadline 21.12.2020 0:00)

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

=== Мобильные приложения ===

Обход проверки root-доступа [[Root_check_bypass]]

== Материалы ==

=== Веб ===

Семинар 1 (17 сентября 2020) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (24 сентября 2020) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (1 октября 2020) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (8 октября 2020) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (15 октября 2020) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (22 октября 2020) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (29 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (5 ноября 2020) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 9 (12 ноября 2020) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (19 ноября 2020) [[Бинарные_уязвимости/Off-by-one]]

=== Уязвимости мобильных приложений ===

Семинар 14 (10 декабря 2020) [[Уязвимости_мобильных_приложений/1]]

Семинар 15 (17 декабря 2020) [[Уязвимости_мобильных_приложений/2]]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

== Примечания ==
<references/>

Root check bypass

2020-12-10T09:22:12Z

Nastya jane: Новая страница: «== Описание задания == Для заданного приложения, выдающего сообщения о запуске на устройс…»

== Описание задания ==

Для заданного приложения, выдающего сообщения о запуске на устройстве с root-доступом, необходимо создать эквивалентную версию этого приложения, не выдающую таких сообщений.
В некоторых вариантах задания такое сообщение является лишь уведомлением, в остальных никакая функциональность приложения недоступна при запуске на устройстве с root-доступом. Необходимо сделать основную функциональность приложения доступной в тех вариантах, где она блокируется.

== Формат решения ==
Итоговый apk-файл и описание решения (модифицированный код метода/методов, в котором осуществляется проверка наличия root-доступа).
Решения присылать по адресу: nastya_jane@seclab.cs.msu.ru

== Варианты задания ==
Архив с 3 вариантами задания: [https://drive.google.com/file/d/1KcDrDPNNSUpUzfSmXGtCVtC1x7npHWYj/view?usp=sharing]

Распределение вариантов: [https://drive.google.com/file/d/1Dxx2c5ocp-HdsgScarE7LLtvboNw3GSm/view?usp=sharing]

== Примечание ==
Для запуска приложения из 2-го варианта в genymotion нужно будет установить транслятор с ARM.
Для этого нужно (см. [http://www.techbae.com/download-install-arm-translation-v1-1-zip-genymotion/]):
# Загрузить архив https://www.dropbox.com/s/tdye2pobix70gqw/%5BTechBae.com%5DGenymotion-ARM-Translation_v1.1.zip?dl=0
# Перетащить архив в окно genymotion, соглашаться во всплывающих диалогах
# Перезагрузить устройство командой adb reboot (или закрыть окно эмулятора и заново его запустить)

Практикум на ЭВМ (2020)

2020-12-10T09:20:09Z

Nastya jane: /* Задания */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 612

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

=== Веб ===

Задания по теме Веб выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main__

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

* <s>[[Практикум_на_ЭВМ_(2020)/Бонусное_задание|Бонусное задание]]</s>

* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)

=== Реверс-инжиниринг и бинарная эксплуатация ===

Задания также выполнены в формате task-based CTF.

* [https://drive.google.com/file/d/1R55Q3Czxd4Wu_hVP1lAK2vSkJcxmh9wg/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1ZImdhu0o6KHdCoz6O8n2CD2FWa2Wk0js/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 7] nc tasks.prak.seclab.cs.msu.ru 16967 (deadline 21.12.2020 0:00)

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

=== Мобильные приложения ===

Обход проверки root-доступа [[Root_check_bypass]]

== Материалы ==

=== Веб ===

Семинар 1 (17 сентября 2020) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (24 сентября 2020) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (1 октября 2020) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (8 октября 2020) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (15 октября 2020) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (22 октября 2020) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (29 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (5 ноября 2020) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 9 (12 ноября 2020) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (19 ноября 2020) [[Бинарные_уязвимости/Off-by-one]]

=== Уязвимости мобильных приложений ===

Семинар 14 (10 декабря 2020) [[Уязвимости_мобильных_приложений/1]]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

== Примечания ==
<references/>

Уязвимости мобильных приложений/1

2020-12-10T08:48:27Z

Nastya jane:

ПО, которое нужно скачать/установить к семинару (всё работает под Windows/Linux/Mac Os):

* Эмулятор android:
<pre>
Установить genymotion personal edition (выбрать вариант с VirtualBox, если он не был ранее установлен): https://www.genymotion.com/fun-zone/ (будет необходимо создать учётную запись)
Запустить genymotion. Выбрать тип использования “For personal use”
Нажать + (Add new virtual device)
Зарегистрироваться с использованием созданной ранее учётной записи
Выбрать параметры виртуального девайса:
Android version – 6.0.0
Device model – Custom Phone
Нажать “Next” и скачать образ выбранного виртуального девайса
Запустить образ виртуального девайса
</pre>

* Скачать архив https://drive.google.com/file/d/0B7Ud4xPbhmAKWkRmSEh2aVNGVHc/view?usp=sharing . Запустить образ виртуального девайса. Перетащить в окно виртуального девайса скачанный архив, со всем согласиться. После установки перезапустить виртуальный девайс.

* Установить Java Runtime Environment: http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html

* Установить JDK: https://www.oracle.com/technetwork/java/javase/downloads/jdk13-downloads-5672538.html

* Скачать dex2jar: https://github.com/pxb1988/dex2jar/releases/download/2.0/dex-tools-2.0.zip

* Скачать JD-GUI: http://jd.benow.ca/.

* Установить apktool: https://ibotpeaches.github.io/Apktool/install/.

* Скачать уязвимое приложения для тестов: https://drive.google.com/open?id=17qn9F3dTkYS0_pmfSRlPtC6Y0lhj1S5j

После установки проверить, что всё ПО запускается без ошибок (консольные утилиты пока можно запустить без параметров). В случае проблем с установкой можно посмотреть скринкаст https://drive.google.com/drive/folders/11yG5M-hbmUHOg1Pk3C55wlDVamQZveJB или написать в tg: @nastya_jane

Презентация семинара: https://drive.google.com/file/d/1Lkk-3iY_j7K7ObyyUnM3yR69jrIHYT6_

Уязвимости мобильных приложений/1

2020-12-04T15:00:48Z

ПО, которое нужно скачать/установить к семинару (всё работает под Windows/Linux/Mac Os):

* Эмулятор android:
<pre>
Установить genymotion personal edition (выбрать вариант с VirtualBox, если он не был ранее установлен): https://www.genymotion.com/fun-zone/ (будет необходимо создать учётную запись)
Запустить genymotion. Выбрать тип использования “For personal use”
Нажать + (Add new virtual device)
Зарегистрироваться с использованием созданной ранее учётной записи
Выбрать параметры виртуального девайса:
Android version – 6.0.0
Device model – Custom Phone
Нажать “Next” и скачать образ выбранного виртуального девайса
Запустить образ виртуального девайса
</pre>

* Скачать архив https://drive.google.com/file/d/0B7Ud4xPbhmAKWkRmSEh2aVNGVHc/view?usp=sharing . Запустить образ виртуального девайса. Перетащить в окно виртуального девайса скачанный архив, со всем согласиться. После установки перезапустить виртуальный девайс.

* Установить Java Runtime Environment: http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html

* Установить JDK: https://www.oracle.com/technetwork/java/javase/downloads/jdk13-downloads-5672538.html

* Скачать dex2jar: https://github.com/pxb1988/dex2jar/releases/download/2.0/dex-tools-2.0.zip

* Скачать JD-GUI: http://jd.benow.ca/.

* Установить apktool: https://ibotpeaches.github.io/Apktool/install/.

* Скачать уязвимое приложения для тестов: https://drive.google.com/open?id=17qn9F3dTkYS0_pmfSRlPtC6Y0lhj1S5j

После установки проверить, что всё ПО запускается без ошибок (консольные утилиты пока можно запустить без параметров). В случае проблем с установкой можно посмотреть скринкаст https://drive.google.com/drive/folders/11yG5M-hbmUHOg1Pk3C55wlDVamQZveJB или написать в tg: @nastya_jane

Практикум на ЭВМ (2020)

2020-12-04T14:44:15Z

Nastya jane: /* Материалы */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 612

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

=== Веб ===

Задания по теме Веб выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main__

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

* <s>[[Практикум_на_ЭВМ_(2020)/Бонусное_задание|Бонусное задание]]</s>

* http://club.tasks.prak.seclab.cs.msu.ru/ (deadline - 01.12.2020 1:53)
* http://jpg.tasks.prak.seclab.cs.msu.ru/ (deadline - 01.12.2020 1:53)
* http://hard.tasks.prak.seclab.cs.msu.ru/ (deadline - 01.12.2020 1:53)
* http://bank.tasks.prak.seclab.cs.msu.ru/ (deadline - 10.12.2020 1:53)
* http://corporate.tasks.prak.seclab.cs.msu.ru/ (deadline - 10.12.2020 1:53)
* http://pwnitter.tasks.prak.seclab.cs.msu.ru/ (deadline - 10.12.2020 1:53)

=== Реверс-инжиниринг и бинарная эксплуатация ===

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

== Материалы ==

=== Веб ===

Семинар 1 (17 сентября 2020) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (24 сентября 2020) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (1 октября 2020) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (8 октября 2020) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (15 октября 2020) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (22 октября 2020) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (29 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (5 ноября 2020) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 9 (12 ноября 2020) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (19 ноября 2020) [[Бинарные_уязвимости/Off-by-one]]

=== Уязвимости мобильных приложений ===

Семинар 14 (10 декабря 2020) [[Уязвимости_мобильных_приложений/1]]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

== Примечания ==
<references/>