Всё о CTF в России

Разбор таска №6 (с котиками)

2017-07-12 14:38:06

В прошлый раз вам был дан сайт web.ctfnews.ru с милыми котиками. Он выбирал последние 70 новостей из поиска vk.com и выводил их заголовки и картинки к ним. Но уязвимость была не в самом приложении, а ещё во время захода на сайт.

Дело в том, что при этом использовался самоподписанный сертификат, в котором хранился флаг. Если вы внимательно посмотрите на сертификат этого сайта, то в одном из полей лежит знакомый CTF{...}.

Введите описание изображения

Введите описание изображения

Догадаться можно было просто — все современные браузеры ругаются на самоподписанные сертификаты, в Mozilla даже есть кнопка «посмотреть сертификат». Также на этой неделе выходила новость, что все ресурсы CTF News переходят на протокол https. Логика, не более. Настоящий ИБ-шник должен не только сканировать сайты на поиск SQL-инъекций, но и знать такие основы как сертификаты, файлы robots.txt, файлы sitemap, index и т.д.

Введите описание изображения

За всё время к решению тасков в телеграмм-боте присоединилось 328 участников, решило на этой неделе — 21.

Таск №7 — «Lot of stuff» . Категория Misc

А в этот раз наш очумелый автор предлагает вам задание стоимостью аж 300 (!!!) поинтов. Суть проста — найти флаг ЛЮБОЙ ценой! Намёк — вам потребуется много дополнительного ПО для поиска флага, просто так он не сдастся. Всем удачи!

Впереди по итогам телеграмм-контеста — ещё два приза, в том числе бесплатное участие в Летней школе CTF!  

«Облачный» партнёр нашего контеста — компания «ИТ-ГРАД», первый сервис-провайдер VMware в России и СНГ.

Последние новости

Мы в соц. сетях

Фото

Volga CTF 2014

Видео

M*CTF, ролик АРСИБ. Декабрь, 2014, г. Москва

Твиттер