Дополнительные главы практической безопасности (2021): различия между версиями

Материал из SecSem Wiki
Перейти к навигации Перейти к поиску
(Занятия)
 
(не показано 35 промежуточных версий 4 участников)
Строка 7: Строка 7:
 
Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.
 
Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.
  
Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Гарантируется, что 10000 и больше будут давать оценку "отлично".
+
Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Критерии такие:
 +
* '''2000''' и больше будут давать оценку "отлично".
 +
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
 +
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"
  
 
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.
 
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.
Строка 13: Строка 16:
 
== Занятия ==
 
== Занятия ==
  
* '''16.02''' - Веб-безопасность — XXE
+
* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]], [https://youtu.be/Dz7r4pEoprs видео])
* '''02.03''' - Веб-безопасность — небезопасная десериализация
+
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([https://www.youtube.com/watch?v=FxVil6DUD4o видео - часть 1], [https://www.youtube.com/watch?v=MrH9tN7tvOw видео - часть 2], [//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection
+
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды] [https://www.youtube.com/watch?v=9nFQAL06mTE видео])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях
+
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды] [https://www.youtube.com/watch?v=oKvppCZkSng видео])
* '''23.03''' - Система типов в языке программирования Rust
+
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды], [https://youtu.be/p195JmRCvNs видео - часть 1], [https://youtu.be/eGTzK9w1egk видео - часть 2])
* '''30.03''' - Фаззинг бинарных программ — основы
+
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды], [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка], [https://www.youtube.com/watch?v=yPmCs39Aodc видео])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
+
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни ([https://www.youtube.com/watch?v=dtoUPpVwGIo видео])
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc.
+
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды], [https://www.youtube.com/watch?v=KK2z-jCxBwk видео])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях
+
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды], [https://www.youtube.com/watch?v=8xQhYRinCus видео])
* '''27.04''' - Эскалация привилегий (LPE) в Windows
+
* '''27.04''' - Эскалация привилегий (LPE) в Windows ([https://course.secsem.ru/slides/LPE-on-Windows.pdf слайды], [https://www.youtube.com/watch?v=PYzuWhXSqSI видео])
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство webassembly и как там достигается сэндбоксинг
+
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности ([https://drive.google.com/file/d/1LWj-u2tC8S-OCV_13MW46yqbnSf_gmU7/view?usp=sharing видео])
  
 
== Задания ==
 
== Задания ==
  
* [[Дополнительные_главы_практической_безопасности_(2021)/Задания по XXE|Задания по XXE]]
+
[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]
 
 
==== Формат заданий ====
 
 
 
В каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему. Для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаги могут иметь разную стоимость. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").
 
 
 
Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main__</code>
 
 
 
==== Сдача флагов ====
 
 
 
Флаги нужно сдавать в [http://dashboard.course.secsem.ru/ принимающую систему]. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).
 
 
 
==== Поломка заданий ====
 
 
 
Поломка не исключена, если задание не работает, или вы думаете что что-то работает не так, как должно, пишите в чат или мне в телеграм @asterite3.
 
  
 
== Примечания ==
 
== Примечания ==
 
<references/>
 
<references/>

Текущая версия на 17:42, 2 июня 2021

Дополнительные главы практической безопасности — математический спецкурс по выбору, продолжение курса Введение в практическую безопасность (читавшегося в 2019 году).

  • Когда: во вторник, 18:20, 16 февраля 2021
  • Где: аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут 10000. Критерии такие:

  • 2000 и больше будут давать оценку "отлично".
  • баллы >= 1000, но меньше 2000 будут давать оценку "хорошо"
  • баллы >= 500, но меньше 1000 будут давать оценку "удовлетворительно"

Большая часть заданий будет выполнена в формате ctf-тасков[1].

Занятия

Задания

Задания находятся на этой странице

Примечания

  1. Про CTF и CTF-команду Bushwhackers