🧯Сегодня у нас было три докладчика: Сергей рассказал про XXE, Рома про Local File Inclusion. После перерыва Толя рассказал мишин доклад про загрузку новых скриптов на сервер — unsafe upload, и про CVEхи (ImageTragick и недавнюю CVE-2019-11043 в php-fpm). Напишите в форму, пожалуйста, что обо всём этом думаете? Что стоит улучшить? Не стесняйтесь оставлять негативные отзывы: forms.gle/jGLungizHtDzvcabA

Дорешивайте таски на forkbomb.ru Заваливайте вопросами, приходите на разбор в субботу — постараемся сделать понятнее, чем сегодня 😒

— vk.com/wall-114366489_1664 —

🏂 В воскресенье последняя тренировка в подсезоне веба, опять будет куча аббревиатур:
− Даня расскажет про SSTI: инъекции в шаблонизаторах, которые приводят вплоть до исполнения кода,
− Рома про Race condition: обход ограничений быстрой отправкой запросов,
− Миша про SSRF-атаки и базовые тулзы для решения веба.
В следующий раз начнём крипту.

💡 Чтобы понимать докладчиков, погуглите темы сходки. Можете прочесть:
defcon.ru/web-security/3840/ — SSTI
bo0om.ru/race-condition-ru
itsecwiki.org/index.php/Ssrf
habr.com/ru/company/dsec/blog/452836/ — тулзы

Когда: 17 ноября в 13:37
Подходите в холл с 12:45, чтобы отметиться у волонтёров.
Место: Университет ИТМО, Кронверкский пр. 49, ауд. 302
С собой паспорт, ноут, пилот и еда.

— vk.com/wall-114366489_1675 —

🥦 Через три часа подключайтесь к стриму Ильи с разбором воскресной форкбомбной тренировки на XXE, LFI и CVE.

▶️ Когда: 16 ноября в 19:00 по мск
Стрим и запись: youtu.be/mU0hu_hvinM

— vk.com/wall-114366489_1677

✅ Подсезон веба закончен! Расскажите, что научились делать и как вам в целом? 👉🏻 forms.gle/5VY4412X8cdDcpfB7
Ещё там есть поле для ваших пожеланий на подсезон криптографии — постараемся сделать сходки полезнее.

📢 Объявления:
— 23 ноября будет RuCTFe, мы организуем площадку в ИТМО. Подробности на неделе
— стрим с разбором сегодняшних тасков будет в пятницу
— со следующего воскресенья в списке не будет тех, кто ни разу не пришёл
— Никита добавил на борду возможность сдавать таски после дедлайна за 10% от баллов. Шлите лучи благодарности! 🔥

— vk.com/wall-114366489_1679 —

⚡️ Через чуть больше 3 часов закроется регистрация на «Я — профессионал» — это студенческая олимпиада по различным направлениям, в том числе по безопасности: yandex.ru/profi/ Победители среди бакалавров без экзаменов могут поступить в любую магистратуру страны по выигранному направлению. У магистров аналогично, только с аспирантурой. Ещё сколько-то денег вручают 🤑 Нас пригласили сделать несколько заданий для направления инфобеза.

❄️ Отборочный тур будет онлайн, финал в Питере. Кроме финала с 10 по 14 февраля пройдёт Зимняя Школа: yandex.ru/profi/school/program, где мы в течение двух дней будем проводить всякие мастер-классы, рубиться в цтфку и прокачивать практические скиллы. Приглашаем, успевайте! :)

— vk.com/wall-114366489_1682 —

🌍 В субботу организуем площадку для участия в RuCTFE — это международное онлайн-соревнование в формате атак-дефенса, где команды не решают таски, а атакуют друг друга. Если не играли в АД до этого, советуем поучаствовать — это динамично и драйвово.

Посмотрите видяшки с прошлогоднего АД-сезона: вводный стрим, «первым делом на вулнбоксе» и про ферму. Хотя, конечно, все полезны: youtube.com/playlist?list=PLLguubeCGWoZT2myk_-FwBt0afThSqZKu

🍕 В аудитории свободных мест ещё на 30 человек, поэтому если вы раньше не участвовали в подобных цтфах и хотите попробовать, собирайте команду и приходите. Чтобы удобнее было объединиться, заполните скилл-форму до 21 ноября 23:59: forms.gle/KrqubbSXa6KzAfux9

👨‍💻 Когда соберёте команду, регистрируйтесь: ructfe.org/registration/
Рега закроется 23 ноября в 11:00 по мск.
Если регнитесь с клантегом [SPbCTF], нам будет приятно :)

📌 Когда зарегаетесь и/или если у вас уже есть команда + вы планируете играть в ИТМО, пришлите мне список команды (фамилия и имя) в личку до 21 ноября 23:59.

— vk.com/wall-114366489_1684 —

🎰 С этого воскресенья начинаем крипту, поэтому держите вдогонку крутую видяшку Омара про то, как понимать, что происходит на сервере и какие в этом могут быть уязвимости.

💣 И мы добавили на форкбомбу бонусные таски по вебу на разную тематику → forkbomb.ru/tasks — enjoy!

— vk.com/wall-114366489_1686 —

♨️ Денис Рыбин пришёл и показал как юзать Burp Pro, а мы смонтировали единственный видос в сезоне Кидсов:

youtu.be/aP_CsSV57Nk — часть 1 про прокси, репитер и сканер
youtu.be/cJAZSZZatCc — часть 2 про интрудер и коллаборатор

⚒ К нему прилагается практика на форкбомбе: forkbomb.ru/tasks
и разбор заданий от Макса: youtu.be/-SbBD7RRSEM

— vk.com/wall-114366489_1689

Сегодня разбор тасков с последней тренировки по вебу.
Подключайтесь в 20:00 по мск 👉🏻 youtu.be/9KOt1yHKjGk

Всем, кто завтра участвует в RuCTFE, желаем удачи!
На площадку ИТМО можно подходить с 12:00 ⚠️ Возьмите паспорт.

— vk.com/wall-114366489_1695 —

🎲 Завтра начинаем криптографию. Дима расскажет про кодировки данных и буквенные шифры. Сходка будет небольшой и очень простой — для тех, кто вообще ничего про крипту не знает. Читать ничего не нужно =)

Когда: 24 ноября в 13:37
Подходите в холл с 12:45, чтобы отметиться у волонтёров.
Место: Университет ИТМО, Кронверкский пр. 49, ауд. 302
С собой паспорт, ноут, пилот и еда.

— vk.com/wall-114366489_1697 —

🍁 На сходке сыграли в викторину, а потом начали подсезон криптографии: Дима рассказал про кодировки данных и буквенные шифры, ещё порешали таски. Дальше будет сложнее, добивайте на неделе forkbomb.ru, в субботу разберём.

Как вам наша ламповая тренировка? 👉🏻 forms.gle/AQnbRBk9xaQtuxPp9 ✍🏻

— vk.com/wall-114366489_1708 —

🐼 В воскресенье мы начали подсезон криптографии, наставники подготовили для вас 35 тасков про кодирование данных и буквенные шифры — таски и презентация на forkbomb.ru/tasks

Разобрать все мы не сможем, поэтому отметьте до завтра 18:00 в форме, что вы не смогли сделать: forms.gle/PfKC93CQpLLMhkJo6 — в субботу Миша разберёт топ-15 на нашем ютубе.

— vk.com/wall-114366489_1713 —

❄️ Первый день зимы начнём с симметричных цифровых шифров. Поточные, блочные, атаки ксором. Нас ждут уже крипто-аббревиатуры: AES, RC4, MAC/AEAD.

Когда: 1 декабря в 13:37
Встречаемся с 12:45 в холле, не забудьте отметиться у волонтёров.
Место: Университет ИТМО, Кронверкский пр. 49, ауд. 302
С собой паспорт, ноут, пилот и еда.

P.S.: Разбор топ-15 воскресных тасков forkbomb.ru будет сегодня в 19:00 мск на ютубе → youtu.be/qHBB5x1QnFU

— vk.com/wall-114366489_1715 —

🎎 Сегодня Даня провёл тренировку по симметричному шифрованию: рассказал про поточные и блочные шифры, методы аутентификации данных (MAC, HMAC). И про атаки — Bit flipping, Chosen-IV, Reused key, Padding oracle.

Чуть позже дополним презентацию полезными материалами, она появится на forkbomb.ru Таски уже там. Enjoy!

Поделитесь впечатлениями от второй сходки по крипте? ✏️ forms.gle/AbisYFm3XMWqEDAZ8

— vk.com/wall-114366489_1717 —

🏆 Поздравляем нашу команду Kappa с первым местом на CTFCup 2019 в Москве!

🤼‍♂️ На соревновании, куда организаторы приглашают победителей разных российских соревнований, из 20 команд было три наших: Kappa, fargate и Red Cadets.

Участники соревновались два дня в нескольких этапах: сначала на тасках, потом в атак-дефенс, а пройдя на финальный этап — одновременно в атак-дефенс и пентест-лабу. Фаргейтам и Каппе удалось пройти в финальную стадию, на которую проходят 4 команды, а Kappa ещё и обошла в ней всех соперников и таким образом победила в соревновании! 👍🏻

Поздравляем ребят с победой ❤️
Желаем продолжать фигачить, и целиться на международные пьедесталы :) Мы с вами ✊

— vk.com/wall-114366489_1719 —

🎉 Новогодней сходке Kids 2.0 быть 🎉

Начиная с первого сезона, мы стараемся собираться в ещё более неформальной обстановке на заключительную сходку сезона — слушаем микс из фановых докладов, пьём чай с тортиками и печеньем, массово уничтожаем горячий шоколад в кофе-машине, разъедаем пиццу, когда-то даже на НГ-сходку я напекла блины на 100 человек, а Влад из Владивостока привёз икры 😋

В этом году финальная встреча сезона будет 21 декабря в Яндексе.

☎️ Нам понравилась идея с миксовыми докладами по темам, по сложности и по времени, поэтому объявляем CFP (Call for papers) для слушателей сезона Kids 2.0 — если хотите поучаствовать и кратко рассказать всем интересную для вас тему или ресёрч, напишите вот сюда до 12 декабря 23:59 мск, а мы, если понадобится, поможем докрутить тему и рассказ: forms.gle/M9nAUAo4FGaPZpYJ8

К 14 декабря объявим доклады, которые будут на сходке.

Критерии для fast-докладов:
— длительность 15-20 минут
— про безопасность или хитрости
— с презенташкой или демкой

Помимо коротких докладов будут основные на 45-60 минут. Если вы хотите выступить в этой категории, напишите @ksvark Кстати, если вы вдруг умеете печь блинчики или что-то ещё кастомное готовить, это шанс остаться в истории — такая забота и очень приятна, и придаёт сходке уют 😻 Тоже напишите =)

Как это было 3 года назад — vk.com/wall-114366489_987, и 2 года — youtu.be/GRWipczpOQk

— vk.com/wall-114366489_1722 —

🤯 Продолжаем подсезон криптографии. На воскресной тренировке погрузимся в асимметричное шифрование — Никита расскажет про RSA, атаки на RSA, форматы ключей RSA, а Даня про эллиптические кривые и DH на них.

📺 Для лучшего понимания посмотрите youtu.be/YEBfamv-_do — старую видяшку про Диффи—Хеллман, и прочтите blog.cloudflare.com/a-relatively-easy-to-understand-primer-on-elliptic-curve-cryptography/ — рассказ на пальцах про RSA и эллиптику.
И не забывайте отправлять идеи докладов на новогоднюю сходку 👉🏻 https://forms.gle/M9nAUAo4FGaPZpYJ8, или подходите послезавтра обсудить :)

Когда: 8 декабря в 13:37
Встречаемся с 12:45 в холле, не забудьте отметиться у волонтёров.
Место: Университет ИТМО, Кронверкский пр. 49, ауд. 302
С собой паспорт, ноут, пилот и еда.

— vk.com/wall-114366489_1731 —

🎎 Разбор форкбомбных тасков на симметричное шифрование сегодня в 19:00. Даня с Никитой покажут, как решались задания про поточные и блочные шифры, атаки на одноразовый блокнот, разные режимы AES и bit flipping.

💻 Когда: 7 декабря в 19:00 по мск
Стрим, а потом и запись: youtu.be/Jisyzz2ALk0

— vk.com/wall-114366489_1734 —

🐼 Фух, тренировка всё. Мы решили подробнее рассказать вам про RSA, поэтому эллиптическую крипту переносим на следующее воскресенье. Кстати, через неделю будет последняя тренировка в 2019 году!

Сегодня Никита с азов рассказал про асимметричное шифрование и RSA, было много математики и практики. После хорошего сна освежите презентацию в памяти и дорешивайте таски на forkbomb.ru

✒️ Отзыв о сходке оставляйте в формочке https://forms.gle/EDHzs8tdYezM6o9LA и не стесняйтесь задавать вопросы в личку наставникам сезона или в тележном чатике t.me/spbctf

А если хотите выступить на завершающей встрече сезона, успевайте до 12 декабря 23:59: https://forms.gle/M9nAUAo4FGaPZpYJ8

— vk.com/wall-114366489_1738 —

🌝 В воскресенье последняя обычная тренировка в 2019 году. Даня разберёт эллиптическую криптографию и генераторы случайных чисел — посмотрите материалы до сходки:
blog.cloudflare.com/a-relatively-easy-to-understand-primer-on-elliptic-curve-cryptography/ — прошлая с RSA и ECC
andrea.corbellini.name/2015/05/17/elliptic-curve-cryptography-a-gentle-introduction/ — серия про эллиптику

🔔 А завтра в 19:00 будет разбор тасков на RSA c forkbomb.ru, присоединяйтесь: youtu.be/A4y2dHoykcw

Когда: 15 декабря в 13:37. Подходите в холл с 12:45, не забудьте отметиться у волонтёров.
Место: Университет ИТМО, Кронверкский пр. 49, ауд. 302
С собой паспорт, ноут, пилот и еда.

— vk.com/wall-114366489_1740 —