ニュースは非常に広範であり、クラスは進行中です。この投稿は、教室で何が起こっているか、トムスクにとどまらずに「参加」して知識を得る方法についての短いストーリーです。
habraアカウントを持っていない人はここを読むことができます
クラスについて
それらは、 SBI「Druzhba」の 106の講堂で、暫定的に午後3時から5時に土曜日に開催されます。 約1時間の期間。 クラスは次のように構成されています。
- プレゼンテーション レッスンのトピック、選択された脆弱性についての少しの理論。 脆弱性の場合-脅威、原因、保護に関する評価。
- 練習。 デモンストレーション用の実験室条件が作成され(スクリプト/サイト用に作成され、サーバーソフトウェア/モジュールは適切な方法で構成されます)、脆弱性に基づいて攻撃が構築されます。
1レッスン、9月17日。 Xss
最初のレッスンには120人以上が参加しました。 70脚の椅子があり、さらに40脚ほど持ち込まれ、すべての座席が占有され、人々が立っていました。 どうやら彼らはどこかでおなじみの言葉を聞いて、興味を持って来たが、根拠がない。 まあ、それは予想されていた。 レッスンを実施することは非常に困難でしたが、私は望んでおらず、参加者にまだ基準はありません。 待機期間中、デモシーンは回転し、小さな雰囲気を作り出していました。
2回目のレッスン、9月24日。 CSRF
約40〜50人が来ました。 これは、組織側と単にクラスを実施する側の両方ですでに簡単でした。 それはかなり早く行きました。 デモも疲れていませんでした。45分かかりました。
10月1日、3回目のレッスン。 ファイルの包含
2番目のレッスンよりも少し多くの人が来ました。 このレッスンと次のレッスン(sql inj)は、ハッキングを標的にする可能性が高いです。 解体されたLFI / RFIは、「ライブ」ブルジョワホスティングでのヌルバイトインジェクションの使用を実証しました。 Apacheログを通じてLFIを試し、いくつかの方法でサーバー上で任意のコマンドを実行する権利を得ました。
クラス教材
サイトでの1週間の授業の後、次のことを行います。
- プレゼン
- 2台のカメラからのビデオ録画(まだ 2台目のカメラはありませんが、すぐに変換する必要があります)
- 脆弱なスクリプトまたは脆弱性を悪用するスクリプト
リンクで利用可能です。
メディア
そして、ここで私たちはspareしまなかった。 TV-TUSURからの小さなレポート:
どこへ行くの?
これらすべてが最終的にどのような結果になるかを評価することは依然として困難です。 しかし、最初のレッスンの後、結果として、XSS上のmail.ruからのメールのテストはクラスの参加者の1つ( flexo )であり、「成功」です(記事「他の人のcookieをmail.ruから削除します」 )
資料、プログラム、およびクラスのニュースは、 oisd.sergeybelove.ruで入手できます。
VKontakteグループ(ディスカッション、提案、クラスに関する質問): vk.com/openinfosecdays
レッスンプレイリスト: www.youtube.com/playlist?list=PLC01F29C5DAC8590F
PSまだウェブはありますが、選択したトピックに関する提案を喜んでいます。 Webアプリケーションへの攻撃に関する章を終えた直後に、ネットワーク攻撃とOSに対する攻撃に移りましょう。
...そして、はい、誰かが自分の街でそのようなものを組織したかったです。 すべての資料が利用可能であり、私は常に協力の準備ができています、連絡先はプロファイルに示されています。