Хакер #305. Многошаговые SQL-инъекции
23 и 24 мая в Москве на форуме Positive Hack Days можно будет не только увидеть выступления знаменитых ИБ-экспертов, принять участие в семинарах и мастер-классах и поболеть за одну из команд хакерской битвы CTF. Гости форума смогут испытать себя в многочисленных и захватывающих соревнованиях. Представляем вашему вниманию список конкурсов, которые пройдут на площадке Центра международной торговли во время Positive Hack Days III.
Конкурсы на площадке
Внимание! Для участия в большинстве соревнований необходимо принести с собой ноутбук.
Choo Choo Pwn
Конкурсантам на выбор будет предложен доступ к системам коммуникаций промышленного оборудования и HMI-системам. Задания заключается в получении доступа к модели систем управления (АСУ ТП) железной дорогой и погрузкой контейнеров, в использовании уязвимостей промышленных протоколов и обходе аутентификации SCADA-систем или веб-интерфейсов промышленного оборудования. Кроме того, на игровой железной дороге будет установлена система видеонаблюдения, и участникам соревнования будет предложено дополнительное задание — нарушить ее работоспособность.
Лабиринт
«Лабиринт» — самый необычный и масштабный аттракцион в истории PHDays. В течение часа любой желающий сможет испытать свои силы в различных областях хакерского искусства: преодолеть лазерное поле и датчики движения, проверить навыки анализа защищенности современных информационных систем, очистить комнату от «жучков», сразиться в интеллектуальном поединке с искусственным разумом и обезвредить бомбу. Чтобы пройти «Лабиринт», игрокам пригодятся навыки копания в мусоре (dumpster diving), взлома замков, поиска уязвимостей в приложениях, социальной инженерии, а также смекалка и физподготовка.
Leave ATM Alone
Конкурс позволит участникам испытать свои навыки эксплуатации уязвимостей в банкоматах. Программное обеспечение, в котором реализованы задания, разработано специально для PHDays III и не встречается в реальной жизни, но при этом содержит большинство типовых уязвимостей данного рода систем. Соревнование будет проходить в два этапа: сначала участники займутся поиском и эксплуатацией уязвимости в системе, развернутой на настоящем банкомате, а на втором этапе финалисты будут выполнять похожие задания в еще более жестких временных рамках.
Большой ку$h
Конкурс призван проверить знания и навыки участников в области эксплуатации типовых уязвимостей в веб-сервисах систем дистанционного банковского обслуживания (ДБО). В конкурсных заданиях представлены реальные уязвимости приложений интернет-банкинга, которые были выявлены специалистами компании Positive Technologies при анализе защищенности подобных систем.
Конкурс проходит в два этапа. Сначала участникам конкурса будут предоставлены копии виртуальных машин, содержащие уязвимые веб-сервисы ДБО (аналог реальной системы интернет-банка). В течение заданного организаторами времени участникам предстоит обнаружить уязвимости в системе. Затем конкурсантам предстоит воспользоваться обнаруженными уязвимостями с целью несанкционированного вывода денежных средств.
Wipeout
В этом году у каждого посетителя PHDays будет возможность почувствовать себя Дэйдом Мерфи из культового фильма «Хакеры». Все желающие смогут посоревноваться в умении управлять футуристическим болидом в аркадных гонках серии Wipeout.
Lockpicking
В отличие от прошлого года, в этом году в рамках форума PHDays вновь состоятся мастер-классы и соревнования по вскрытию замков, которые будут проводиться всемирно известными экспертами из ассоциации The Open Organisation Of Lockpickers (TOOOL) под предводительством Девианта Оллама. Всех участников форума ждут интересные практические задачи, а также множество возможностей испытать свои навыки и получить новые прикладные знания.
Охота на лис
В рамках конкурса предлагается обнаружить точку беспроводного доступа стандарта 802.11 a/b/g/n с заранее известным идентификатором ESSID. Расположение точки доступа будет периодически изменяться.
Участнику необходимо первым определить точные координаты текущего расположения беспроводной точки доступа («лисы») и сообщить об этом организаторам. Победителем будет объявлен тот, кто поймает наибольшее количество «лис».
2600
Задача участников соревнования заключается в осуществлении звонка с таксофона на заранее определенный номер. Жетон при этом нужно возвратить организаторам. Итоги конкурса будут подведены во второй день форума. При выборе победителя судьи будут учитывать оригинальность методов, позволивших участникам выполнить задание.
Участникам запрещается осуществлять любые действия, которые могут повредить конкурсный таксофон!
Big Shot
В ходе этого конкурса каждому участнику будет предложена фотография человека, по которой однозначно его опознать никак нельзя, а также набор признаков, которые этого человека характеризуют. Изображенный на снимке будет присутствовать на форуме, а конкурсанты должны будут вычислить его личность и совершить ряд заданных действий (например «стрельнуть» у него визитку или сфотографироваться с ним).
Наливайка
Участникам конкурса необходимо провести успешную атаку на веб-приложение, защищенное фильтром безопасности. Приложение содержит конечное число уязвимостей, последовательная эксплуатация которых позволяет, среди прочего, выполнять команды операционной системы.
Общая продолжительность конкурса ограничена 30 минутами. Каждые 5 минут участникам, на действия которых чаще всего реагировал WAF, предлагается выпить 50 мл крепкого горячительного напитка — и продолжать борьбу. Победителем становится тот участник, который сумеет первым получить главный игровой флаг на этапе выполнения команд на сервере.
Лучшая хакерская футболка
Для того, чтобы принять участие в конкурсах на форуме Positive Hack Days, вовсе не обязательно быть гуру информационной безопасности, хватит и богатой фантазии. По традиции обладатель самой прикольной хакерской футболки получит приз от организаторов форума.
Все победители и призеры соревнований получат подарки от организаторов форума Positive Hack Days, компании Positive Technologies. Проявить себя сможет каждый!
Зарегистрироваться для участия в форуме Positive Hack Days III можно на сайте RUNET-ID.
Онлайн конкурсы
Для тех, кто по каким-то причинам не сможет в дни проведения форума оказаться в московском Центре международной торговли, существует возможность присоединиться к состязаниям онлайн.
Hash Runner
В рамках этого соревнования проверке подвергнутся знания участников в области криптографических алгоритмов хэширования, а также навыки взлома хэш-функций паролей. Конкурсантам будет предоставлен перечень хэш-функций, сгенерированных по различным алгоритмам (MD5, SHA-1, Blowfish, GOST3411 и др.). Для победы нужно набрать как можно больше очков за ограниченное время, обогнав всех конкурентов.
Принять участие в соревновании сможет любой пользователь сети Интернет. Регистрация для участия откроется на сайте phdays.ru за неделю до старта форума.
Конкурентная разведка
Конкурс позволит участникам форума выяснить, насколько быстро и качественно они умеют искать полезную информацию в сети Интернет.
На странице конкурса будут опубликованы вопросы, связанные с некой организацией, информацию о которой можно найти в Интернете. Задача участника конкурса — найти как можно больше правильных ответов на поставленные вопросы за минимальное время. Итоги будут подведены в конце второго дня форума.
К соревнованию допускается любой пользователь сети Интернет. Зарегистрироваться можно на сайте phdays.ru (регистрация открывается за неделю до начала форума).
PHDays HackQuest
Организатор: @ONsec_Lab
Участники соревнования смогут погрузиться в почти забытый мир DOS и 8-битной музыки, расшевелить свои самые глубинные ностальгические чувства и зарядиться положительными эмоциями в преддверии международного форума PHDays III.
Период проведения: с 1 по 13 мая 2013 года.
Победители получат памятные сувениры и возможность бесплатно попасть на PHDays III.
Призы:
1 место: 5 билетов + 5 сувенирных футболок
2 место: 4 билета + 4 футболки
3 место: 3 билета + 3 футболки
4—10 место: 1 билет + 1 футболка
Специальный приз за дополнительное бонусное задание — 1 билет и 1 футболка.