Практикум на ЭВМ (2023): различия между версиями

Материал из SecSem Wiki
Перейти к навигации Перейти к поиску
(Веб)
 
(не показаны 33 промежуточные версии 6 участников)
Строка 2: Строка 2:
 
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.
 
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.
  
* '''Когда''': по понедельникам, 12:50
+
* '''Когда''': по четвергам, 10:30
* '''Где''': аудитория 706
+
* '''Где''': аудитория 790 или 71
  
Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.
+
Практикум связан с курсом «Безопасность компьютерных систем», который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.
  
 
Основные темы, которые будут затронуты в практикуме 2023/2024 учебного года:
 
Основные темы, которые будут затронуты в практикуме 2023/2024 учебного года:
Строка 14: Строка 14:
  
 
Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
 
Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.
+
Большая часть заданий будет выполнена в формате CTF-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.
  
 
== Задания ==
 
== Задания ==
  
 +
Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько «флагов», выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний («_»).
  
Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").
+
Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>
  
Флаги, входящие в обязательную часть, будут начинаться с префикса main_
+
Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).
 
 
Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).
 
  
 
=== Веб ===
 
=== Веб ===
  
 
* <s>[[Практикум_на_ЭВМ_(2023)/Бонусное_задание|Бонусное задание]]</s>
 
* <s>[[Практикум_на_ЭВМ_(2023)/Бонусное_задание|Бонусное задание]]</s>
 +
* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 17.10.2023 23:43)
 +
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
 +
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
 +
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
 +
* <s>http://hard.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
 +
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
 +
* <s>http://shop.tasks.prak.seclab.cs.msu.ru/</s>  (dedline - 23.11.2023 23:59)
 +
 +
=== Реверс-инжиниринг и бинарная эксплуатация ===
 +
 +
* [[Media:2023 reverse tasks.zip|Задания по реверсу]] (deadline - 16.11.2023 23:59:59.999999 MSK)
 +
* [[Media:2023 pwn tasks.tar.gz|Задания по бинарной эксплутации]] (deadline - 17.12.2023 23:59:59.999999 MSK)
 +
 +
=== Криптография и криптоанализ ===
 +
 +
 +
* Padding oracle: [http://even.tasks.prak.seclab.cs.msu.ru/ even], [http://bleichenbacher.tasks.prak.seclab.cs.msu.ru/ bleichenbacher] (deadline - 01.05.2024 23:59)
 +
* RSA: [https://khashaev.ru/secsem/rsa/#broadcast broadcast], [https://khashaev.ru/secsem/rsa/#common-sense common-sense] (deadline - 1.04.2024 23:53)
 +
* [[Практикум_на_ЭВМ_(2020)/Задание_на_блочные_шифры|Задание на блочные шифры]] (deadline - 24.03.2024 23:53)
 +
 +
=== Сетевая безопасность ===
 +
 +
* [[Media:amplification.tar.gz| Задания на амплификацию]] – nc tasks.prak.seclab.cs.msu.ru 16969 (deadline – 2024-05-27 23:59)
  
 
== Материалы ==
 
== Материалы ==
Строка 38: Строка 60:
  
 
Семинар 3 (25 сентября 2023) [[Веб-безопасность/Уязвимости_SQLi]]
 
Семинар 3 (25 сентября 2023) [[Веб-безопасность/Уязвимости_SQLi]]
 +
 +
Семинар 4 (2 октября 2023) [[Веб-безопасность/Уязвимости_XSS]]
 +
 +
Семинар 5 (9 октября 2023) [[Веб-безопасность/Уязвимости_FileUpload]]
 +
 +
Семинар 6 (16 октября 2022) [[Веб-безопасность/Атаки_SSRF]]
 +
 +
Семинар 7 (23 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]
 +
 +
=== Реверс-инжиниринг и бинарная эксплуатация ===
 +
 +
Семинар 8 (30 октября 2023) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]
 +
 +
Семинар 10 (20 ноября 2022) [[Бинарные_уязвимости/Переполнение_стека]]
 +
 +
Семинар 11 (27 ноября 2022) [[Бинарные_уязвимости/ROP]]
 +
 +
=== Криптография и криптоанализ ===
 +
 +
Семинар 1 (22 февраля 2024) [[Криптография/Асимметричная криптография на примере RSA]]
 +
 +
Семинар 2 (29 февраля 2021) [[Криптография/Блочные шифры. Атаки на блочные шифры]]
 +
 +
Семинар 4 (14 марта 2021) [[Криптография/Атака Padding oracle на RSA]]
 +
 +
=== Сетевая безопасность ===
 +
 +
Семинар 5 (4 апреля 2024) [[Сетевая безопасность/Анализ сетевого трафика]]
 +
 +
Семинар 6 (11 апреля 2024) [[Сетевая безопасность/Сетевой стек и DNS]]
  
 
== Примечания ==
 
== Примечания ==
 
<references/>
 
<references/>

Текущая версия на 16:24, 21 мая 2024

Практикум на ЭВМ кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

  • Когда: по четвергам, 10:30
  • Где: аудитория 790 или 71

Практикум связан с курсом «Безопасность компьютерных систем», который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара — т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2023/2024 учебного года:

  • веб-безопасность
  • реверс-инжиниринг и эксплуатация бинарных программ
  • криптография
  • сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать 1000, таким образом, баллы за все обязательные задания одного семестра вместе дадут 2000. Большая часть заданий будет выполнена в формате CTF-тасков[1].

Задания

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько «флагов», выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний («_»).

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в принимающую систему. В ней нужно заранее зарегистрироваться (ник в формате Фамилия Имя) и дождаться активации, без этого сдавать флаги не получится. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова — возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

Веб

Реверс-инжиниринг и бинарная эксплуатация

Криптография и криптоанализ

Сетевая безопасность

Материалы

Веб

Семинар 1 (11 сентября 2023) Веб-безопасность/Введение в веб-технологии

Семинар 2 (18 сентября 2023) Веб-безопасность/Базы_данных_SQL

Семинар 3 (25 сентября 2023) Веб-безопасность/Уязвимости_SQLi

Семинар 4 (2 октября 2023) Веб-безопасность/Уязвимости_XSS

Семинар 5 (9 октября 2023) Веб-безопасность/Уязвимости_FileUpload

Семинар 6 (16 октября 2022) Веб-безопасность/Атаки_SSRF

Семинар 7 (23 октября 2020) Веб-безопасность/Уязвимости_XXE

Реверс-инжиниринг и бинарная эксплуатация

Семинар 8 (30 октября 2023) Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей

Семинар 10 (20 ноября 2022) Бинарные_уязвимости/Переполнение_стека

Семинар 11 (27 ноября 2022) Бинарные_уязвимости/ROP

Криптография и криптоанализ

Семинар 1 (22 февраля 2024) Криптография/Асимметричная криптография на примере RSA

Семинар 2 (29 февраля 2021) Криптография/Блочные шифры. Атаки на блочные шифры

Семинар 4 (14 марта 2021) Криптография/Атака Padding oracle на RSA

Сетевая безопасность

Семинар 5 (4 апреля 2024) Сетевая безопасность/Анализ сетевого трафика

Семинар 6 (11 апреля 2024) Сетевая безопасность/Сетевой стек и DNS

Примечания

  1. Про CTF и CTF-команду Bushwhackers