Несколько недель назад я писал о бесплатных занятиях по информационной (без)опасности в Томске.
Новость получила довольно широкое распространение, занятия идут, а этот пост — небольшой рассказ, что же проходит на занятиях, как можно «приобщиться» к нам и получать знания, не пребывая в Томске.
У кого нет хабра-аккаунта может прочитать тут
Проходят по субботам, ориентировочно в 3-5 вечера в 106 аудитории СБИ «Дружба». По продолжительности около часа. Занятия построены подобным образом:
На первое занятие пришло более > 120 человек. Было 70 стульев, принесли еще около 40, все места были заняты + народ стоял. Видимо услышали знакомые где-то слова и пришли ради интереса, не имея никакой базы. Ну, это было ожидаемо. Было очень сложно вести занятие, но я не хотел и нет до сих пор никаких критериев для участников и то, с чем пришлось столкнуться — нужно было просто пережить. На период ожидания крутилась демосцена, немного создавая обстановку.
Пришло около 40~50 человек. Было уже легче и со стороны организации, и стороны просто ведения занятия. Прошло довольно резво. Демонстрацию тоже не утомила, уложились в 45 минут.
Пришло чуть больше людей, чем на второе занятие. Это занятие и следующее (sql inj) — скорее по целевому взлому. Разобрали LFI/RFI, продемонстрировали использование null-byte injection на «живом» буржуйском хостинге. Попробовали LFI через логи апача, получили права выполнения произвольных команд на сервере несколькими способами.
После занятия в течение недели на сайте выкладывается:
Доступны по ссылке.
И тут нас не обошли стороной. Небольшой репортаж от ТВ-ТУСУР:
Пока сложно оценить, во что в итоге все это выльется. Но после первого занятия как результат тест почты от mail.ru на XSS одним из участников наших занятий (flexo), при чем «успешный» (статья «Уводим чужие cookies c mail.ru»)
Материалы, программа и новости занятий доступны по ссылке: oisd.sergeybelove.ru
Группа вконтакте (обсуждения, пожелания, вопросы по занятиям): vk.com/openinfosecdays
Плейлист с записями занятий: www.youtube.com/playlist?list=PLC01F29C5DAC8590F
P.S. Буду рад предложениям по выбранным темам, пока еще идет web. Просто как закончим главу атак на веб-приложения, перейдем к сетевым атакам и атакам на ОС и не будем возвращаться назад.
… И да, кто-то хотел организовать что-то подобное у себя в городе. Все материалы доступны, а я всегда готов для сотрудничества, контакты указаны в профайле.
Новость получила довольно широкое распространение, занятия идут, а этот пост — небольшой рассказ, что же проходит на занятиях, как можно «приобщиться» к нам и получать знания, не пребывая в Томске.
У кого нет хабра-аккаунта может прочитать тут
О занятиях
Проходят по субботам, ориентировочно в 3-5 вечера в 106 аудитории СБИ «Дружба». По продолжительности около часа. Занятия построены подобным образом:
- Презентация. Немного теории о теме занятия, выбранной уязвимости. В случае уязвимостей — оценка угроз, причины возникновения, немного о защите.
- Практика. Создаются лабораторные условия для демонстрации (пишется за ранее скрипт/сайт, настраивается подходящим способом серверное по/модули) и проводится атака, построенная на уязвимости.
1 занятие, 17 сентября. XSS
На первое занятие пришло более > 120 человек. Было 70 стульев, принесли еще около 40, все места были заняты + народ стоял. Видимо услышали знакомые где-то слова и пришли ради интереса, не имея никакой базы. Ну, это было ожидаемо. Было очень сложно вести занятие, но я не хотел и нет до сих пор никаких критериев для участников и то, с чем пришлось столкнуться — нужно было просто пережить. На период ожидания крутилась демосцена, немного создавая обстановку.
2 занятие, 24 сентября. CSRF
Пришло около 40~50 человек. Было уже легче и со стороны организации, и стороны просто ведения занятия. Прошло довольно резво. Демонстрацию тоже не утомила, уложились в 45 минут.
3 занятие, 1 октября. File Inclusion
Пришло чуть больше людей, чем на второе занятие. Это занятие и следующее (sql inj) — скорее по целевому взлому. Разобрали LFI/RFI, продемонстрировали использование null-byte injection на «живом» буржуйском хостинге. Попробовали LFI через логи апача, получили права выполнения произвольных команд на сервере несколькими способами.
Материалы занятий
После занятия в течение недели на сайте выкладывается:
- презентация
- видео-запись с двух камер (со второй пока нет, но скоро будет, нужно конвертить)
- уязвимые скрипты или скрипты, эксплуатирующие уязвимость
Доступны по ссылке.
СМИ
И тут нас не обошли стороной. Небольшой репортаж от ТВ-ТУСУР:
Куда идем?
Пока сложно оценить, во что в итоге все это выльется. Но после первого занятия как результат тест почты от mail.ru на XSS одним из участников наших занятий (flexo), при чем «успешный» (статья «Уводим чужие cookies c mail.ru»)
Материалы, программа и новости занятий доступны по ссылке: oisd.sergeybelove.ru
Группа вконтакте (обсуждения, пожелания, вопросы по занятиям): vk.com/openinfosecdays
Плейлист с записями занятий: www.youtube.com/playlist?list=PLC01F29C5DAC8590F
P.S. Буду рад предложениям по выбранным темам, пока еще идет web. Просто как закончим главу атак на веб-приложения, перейдем к сетевым атакам и атакам на ОС и не будем возвращаться назад.
… И да, кто-то хотел организовать что-то подобное у себя в городе. Все материалы доступны, а я всегда готов для сотрудничества, контакты указаны в профайле.
