Привет 👋

Добро пожаловать на воркшоп по безопасности PAM Security Challenge

Воркшоп будет проходить в формате соревнований Capture The Flag

CTF — это соревнования по спортивному хакингу: как олимпиадное программирование, но в информационной безопасности. Участники получают набор заданий из разных категорий - в нашем случае уязвимые веб-сервисы, написанные на Python ❤️.

В течении недели мы будем публиковать новые задания Самые активные участники получат баллы чемпионата

А в пятницу 7го июня 10:00 на утренней сессии

В каждом задании перед участников стоит цель: найти и проэксплотировать уязвимость на специально подготовленном сайте и извлечь секрет - flag. Успешно решив задание, участник получает флаг — секретную строчку вида PODLODKA{'TEST_FL4G'}. Участник отправляет флаг в проверяющую систему и получает очки. Побеждает тот, кто набрал больше очков.

Проверяющяя система / Платформа / Скорборд
http://pythoncrew3.mxkv.ru/

Каждое задание живет в докер контейнере внутри которого есть секрет:

/app 
/app/.flag.txt

В каждом задании флаг можно проверить:

GET /submit_flag/<flag:str>

Правила:

GL HF

Активность фановая

Не ломайте платформу

Не атакуйте бэкенд инфраструктуры, сосредоточьтесь на заданиях

###№ Брутфорс ни к чему не приведет ¯_(ツ)_/¯

Играйте честно

Не атакуйте других участников и не мешайте им

Не обменивайтесь флагами с другими игроками. Можно подсказывать - цель в том, чтобы самому решить

Не устраитвайте DDoS атаку на задания

Не пытайтесь устроить DDoS атаку на задания или совершать действия, которые могут к этому привести.

Например, не используйте брутфорс или автоматизированные инструменты с множеством потоков.

ЗАПРЕЩАЕТСЯ

ПООЩРЯЕТСЯ

GL HF