VolgaCTF — комьюнити-партнеры ZeroNights 2021! Ребята подготовили третье задание для HackQuest.
Вопросы по заданиям квеста пишите на почту hackquest@zeronights.org
Вопросы по заданиям квеста пишите на почту hackquest@zeronights.org
Четвертую задачу для HackQuest подготовила для вас команда RuCTFE.
Займите место в Зале Славы и получите бесплатный билет на ZeroNights 2021!
Сайт квеста
Займите место в Зале Славы и получите бесплатный билет на ZeroNights 2021!
Сайт квеста
Forwarded from Digital Security
С 24 по 30 мая проходит HackQuest, приуроченный к конференции ZeroNights 2021. Цель квеста состоит в том, чтобы решить задачи по информационной безопасности и получить инвайт на десятую конференцию ZeroNights.
Пятую задачу для HackQuest подготовила команда Digital Security.
Пятую задачу для HackQuest подготовила команда Digital Security.
Месяц до конференции ZeroNights 2021 ⏳
До дня ZN X остался месяц, и для вас есть несколько объявлений.
1️⃣ Сегодня, 30 мая — последний день хакквеста ZeroNights. Имена победителей ищите в Зале Славы.
2️⃣ Завтра, 31 мая — последний день приема заявок на доклады. Это значит, что скоро на сайте появится полная программа конференции!
3️⃣ Если вы хотите организовать конкурс на ZN или у вас есть другие идеи сотрудничества, вы все еще можете писать на
4️⃣ Товаров в Маркете становится все меньше, поэтому бронируйте понравившийся мерч уже сейчас. Забрать и оплатить сможете на площадке в день конференции.
Следите за новостями, приобретайте билеты, и до встречи на ZeroNights!
До дня ZN X остался месяц, и для вас есть несколько объявлений.
1️⃣ Сегодня, 30 мая — последний день хакквеста ZeroNights. Имена победителей ищите в Зале Славы.
2️⃣ Завтра, 31 мая — последний день приема заявок на доклады. Это значит, что скоро на сайте появится полная программа конференции!
3️⃣ Если вы хотите организовать конкурс на ZN или у вас есть другие идеи сотрудничества, вы все еще можете писать на
pr@zeronights.org.4️⃣ Товаров в Маркете становится все меньше, поэтому бронируйте понравившийся мерч уже сейчас. Забрать и оплатить сможете на площадке в день конференции.
Следите за новостями, приобретайте билеты, и до встречи на ZeroNights!
HackQuest ZeroNights 2021 проходил с 24 по 30 мая. Время подвести итоги и объявить победителей, которые получили билеты на юбилейную конференцию ZeroNights!
День 1: beched
День 2: AV1ct0r
День 3: WGH
День 4: YOBA
День 5: ma9a
Участник под ником hedger, дважды занявший второе место, также получил билет на ZN.
Подробнее
День 1: beched
День 2: AV1ct0r
День 3: WGH
День 4: YOBA
День 5: ma9a
Участник под ником hedger, дважды занявший второе место, также получил билет на ZN.
Подробнее
Доклады основной программы 💥💥💥
(О других докладах главной сцены мы рассказывали тут и здесь)
Доработка эксплойта для уязвимости CVE-2021-26708 в ядре Linux с целью обхода LKRG
В начале 2021 Александр Попов обнаружил и устранил 5 уязвимостей типа race condition в реализации виртуальных сокетов ядра Linux. Ранее Александр показал эксплуатацию одной из них для локального повышения привилегий на Fedora 33 Server для x86_64. Теперь расскажет, как дорабатывал свой эксплойт, чтобы обойти средство защиты Linux Kernel Runtime Guard (LKRG).
Исследуя Galaxy: построение эмуляторов для поиска уязвимостей в современных телефонах
Александр Тарасиков расскажет об уязвимостях в Secure Bootloader (S-Boot), Hypervisor (RKP) и TrustZone приложениях (TEEGRIS) на телефонах Samsung Galaxy с Exynos SoCs. Александр расскажет о том, что разработчики и индустрия могли бы сделать, чтобы попытаться избежать подобных проблем, а также об ограничениях, которые не позволяют предотвратить возникновение уязвимостей.
Подробнее
(О других докладах главной сцены мы рассказывали тут и здесь)
Доработка эксплойта для уязвимости CVE-2021-26708 в ядре Linux с целью обхода LKRG
В начале 2021 Александр Попов обнаружил и устранил 5 уязвимостей типа race condition в реализации виртуальных сокетов ядра Linux. Ранее Александр показал эксплуатацию одной из них для локального повышения привилегий на Fedora 33 Server для x86_64. Теперь расскажет, как дорабатывал свой эксплойт, чтобы обойти средство защиты Linux Kernel Runtime Guard (LKRG).
Исследуя Galaxy: построение эмуляторов для поиска уязвимостей в современных телефонах
Александр Тарасиков расскажет об уязвимостях в Secure Bootloader (S-Boot), Hypervisor (RKP) и TrustZone приложениях (TEEGRIS) на телефонах Samsung Galaxy с Exynos SoCs. Александр расскажет о том, что разработчики и индустрия могли бы сделать, чтобы попытаться избежать подобных проблем, а также об ограничениях, которые не позволяют предотвратить возникновение уязвимостей.
Подробнее
Финальные доклады секции, посвященной безопасности веб-приложений 🔥🔥🔥
(О других докладах Web Village мы говорили в новостях тут и там)
Новые пути вызывать alert: Prototype Pollution
Никита Ступин и Сергей (BlackFan) Бобров расскажут о новом типе уязвимостей веб-приложений — JavaScript Prototype Pollution. Вы научитесь находить и эксплуатировать JavaScript prototype pollution на клиенте. В докладе будут примеры из опыта охоты за уязвимостями, экзотические обходы фиксов и примеры автоматизации.
Weird proxies/2 и немного магии
Это доклад Алексея (GreenDog) Тюрина, посвященный новым результатам исследования различных реверс прокси, а также новым возможностям, приносимым HTTP/2. И представляет собой сборную солянку трюков для эксплуатации различных мисконфигураций.
31337
Антон (Bo0oM) Лопаницын рассмотрит аномальные случаи работы с цифровыми значениями и расскажет об эксплуатации уязвимостей с их помощью.
Подробнее
(О других докладах Web Village мы говорили в новостях тут и там)
Новые пути вызывать alert: Prototype Pollution
Никита Ступин и Сергей (BlackFan) Бобров расскажут о новом типе уязвимостей веб-приложений — JavaScript Prototype Pollution. Вы научитесь находить и эксплуатировать JavaScript prototype pollution на клиенте. В докладе будут примеры из опыта охоты за уязвимостями, экзотические обходы фиксов и примеры автоматизации.
Weird proxies/2 и немного магии
Это доклад Алексея (GreenDog) Тюрина, посвященный новым результатам исследования различных реверс прокси, а также новым возможностям, приносимым HTTP/2. И представляет собой сборную солянку трюков для эксплуатации различных мисконфигураций.
31337
Антон (Bo0oM) Лопаницын рассмотрит аномальные случаи работы с цифровыми значениями и расскажет об эксплуатации уязвимостей с их помощью.
Подробнее
Первая часть докладов Defensive Track!
Побег из контейнера: Kubernetes
Дмитрий Евдокимов расскажет о Cloud-Native приложениях и о том, насколько просто совершить побег из контейнера в Kubernetes с учетом его специфики.
8 способов шпионить за вашими консолями
Это краткий обзор различных способов записи ввода и вывода консоли с рабочими примерами, плюсами и минусами от Ивана Агаркова.
Формальной верификации обзорчик: безопасная разработка за пределами рандомизированных тестов
Доклад Дмитрия Волкова — ураганный пробег по стэйт-оф-зэ-арт в формальной верификации.
CVEhound: проверка исходников Linux на известные CVE
Денис Ефремов расскажет о процессе исправления CVE в ядре Linux и продемонстрирует инструмент CVEhound.
Опыт внедрения статического анализа в большой организации
Разработчики Яндекса могут похвастаться зоопарком VCS и CI/CD систем, а служба ИБ — целым арсеналом секьюрити тулов. В ходе доклада расскажут, где берут идеи для кастомных правил и с какими сложностями сталкиваются.
Подробнее
Побег из контейнера: Kubernetes
Дмитрий Евдокимов расскажет о Cloud-Native приложениях и о том, насколько просто совершить побег из контейнера в Kubernetes с учетом его специфики.
8 способов шпионить за вашими консолями
Это краткий обзор различных способов записи ввода и вывода консоли с рабочими примерами, плюсами и минусами от Ивана Агаркова.
Формальной верификации обзорчик: безопасная разработка за пределами рандомизированных тестов
Доклад Дмитрия Волкова — ураганный пробег по стэйт-оф-зэ-арт в формальной верификации.
CVEhound: проверка исходников Linux на известные CVE
Денис Ефремов расскажет о процессе исправления CVE в ядре Linux и продемонстрирует инструмент CVEhound.
Опыт внедрения статического анализа в большой организации
Разработчики Яндекса могут похвастаться зоопарком VCS и CI/CD систем, а служба ИБ — целым арсеналом секьюрити тулов. В ходе доклада расскажут, где берут идеи для кастомных правил и с какими сложностями сталкиваются.
Подробнее
До ZeroNights 2021 осталось менее трех недель! А на сайте появилась полная программа главной сцены, Web Village и Defensive Track.
Выбирайте свои доклады must-attend, заказывайте билеты, и увидимся 30 июня в Санкт-Петербурге в пространстве «Севкабель Порт»!
Выбирайте свои доклады must-attend, заказывайте билеты, и увидимся 30 июня в Санкт-Петербурге в пространстве «Севкабель Порт»!
Финальные доклады главной сцены (подробнее — в новости)
Трояны и бэкдоры в кнопочных мобильных телефонах российской розницы
Реалии рынка дешевых feature phone'ов 2021 года: от самовольного выхода в интернет и рассылки платных СМС до бэкдоров в прошивках устройств.
Lateral movement without pivoting
Андрей Жуков расскажет об автоматизации перемещения внутри периметра.
0day баг в Apache, о котором никто до сих пор не знает и который был исправлен случайно
Этот доклад от Макса Дмитриева посвящен критичной уязвимости Apache+Modsecurity, позволяющей читать исходный код любого PHP-файла на сервере.
Спасибо, что пользуетесь сократителями URL: теперь я знаю все о ваших клиентах
Сократители URL популярны, но некоторые из них позволяют отслеживать пользователей и могут быть интересны хакерам. Спикер — Александр Колчанов
❗️29 июня и 30 июня билеты на ZeroNights можно будет купить только на площадке с наценкой 30%. Поэтому приобретайте их уже сейчас!
Трояны и бэкдоры в кнопочных мобильных телефонах российской розницы
Реалии рынка дешевых feature phone'ов 2021 года: от самовольного выхода в интернет и рассылки платных СМС до бэкдоров в прошивках устройств.
Lateral movement without pivoting
Андрей Жуков расскажет об автоматизации перемещения внутри периметра.
0day баг в Apache, о котором никто до сих пор не знает и который был исправлен случайно
Этот доклад от Макса Дмитриева посвящен критичной уязвимости Apache+Modsecurity, позволяющей читать исходный код любого PHP-файла на сервере.
Спасибо, что пользуетесь сократителями URL: теперь я знаю все о ваших клиентах
Сократители URL популярны, но некоторые из них позволяют отслеживать пользователей и могут быть интересны хакерам. Спикер — Александр Колчанов
❗️29 июня и 30 июня билеты на ZeroNights можно будет купить только на площадке с наценкой 30%. Поэтому приобретайте их уже сейчас!
⚠️ Осталось две недели до конференции! Тем временем рассказываем вам о докладах секции Defensive Track (первая часть тут).
О метриках с практической точки зрения
Доклад Дениса Рыбина фокусируется на практической пользе и минимальном количестве теории. Цель – заставить работать метрики на себя, а не себя на метрики.
IPMI backdoor не своими руками
Илья Зуев расскажет о реальных кейсах взлома IPMI модулей, обнаружении зловредных бэкдоров, методах форензики и индикаторах компрометации (IoC).
Атаки на микросервисные приложения: методы и практические советы
В этой презентации Александр Барабанов покажет вам типичные архитектурные уязвимости микросервисных приложений, реальные кейсы из аудитов безопасности и представит open-source чеклист с практическими рекомендациями по оценке безопасности архитектуры микросервисных приложений.
Лезем невидимой рукой аппсека в релизные сборки
История об одном автоматизированном контроле для релизных сборок мобильных приложений. Автор – Дмитрий Терёшин.
Подробнее
О метриках с практической точки зрения
Доклад Дениса Рыбина фокусируется на практической пользе и минимальном количестве теории. Цель – заставить работать метрики на себя, а не себя на метрики.
IPMI backdoor не своими руками
Илья Зуев расскажет о реальных кейсах взлома IPMI модулей, обнаружении зловредных бэкдоров, методах форензики и индикаторах компрометации (IoC).
Атаки на микросервисные приложения: методы и практические советы
В этой презентации Александр Барабанов покажет вам типичные архитектурные уязвимости микросервисных приложений, реальные кейсы из аудитов безопасности и представит open-source чеклист с практическими рекомендациями по оценке безопасности архитектуры микросервисных приложений.
Лезем невидимой рукой аппсека в релизные сборки
История об одном автоматизированном контроле для релизных сборок мобильных приложений. Автор – Дмитрий Терёшин.
Подробнее
Конкурс «Hack to be hired» на ZeroNights
30 июня на конференции вы сможете принять участие в конкурсе от Академии Digital Security, тема которого многократно становилась основой для мемов о найме сотрудников в ИТ-компании.
Вам предстоит создать вакансию в компании мечты и пригласить себя на собеседование.
Подробнее
30 июня на конференции вы сможете принять участие в конкурсе от Академии Digital Security, тема которого многократно становилась основой для мемов о найме сотрудников в ИТ-компании.
Вам предстоит создать вакансию в компании мечты и пригласить себя на собеседование.
Подробнее
Перенос даты ZeroNights на август 2021
Друзья!
Организаторы готовились к юбилейному мероприятию и ждали встречи с вами два года: забронировали одну из лучших и самых живописных площадок города, отобрали самые сильные доклады и сформировали мощную программу.
Однако в связи с неутихающим распространением инфекции и недавним ужесточением антиковидных мер в г. Санкт-Петербург в планах произошли непредсказуемые изменения. Теперь наша долгожданная встреча переносится на август.
Новая дата конференции – 25 августа 2021. Место остается то же – “Севкабель Порт”.
Для участников, которым не подходит эта дата, мы предусмотрели процедуру возврата билетов.
При возврате до 30 июня стоимость всех купленных билетов будет возмещена в полном объеме. После 30 июня – от суммы будет удержана комиссия. Если возникнут вопросы, смело пишите на visitor@zeronights.org.
Десятая конференция ZeroNights не может не состояться! Дополнительное время мы уделим организации еще большего количества активностей и расширению программы.
Друзья!
Организаторы готовились к юбилейному мероприятию и ждали встречи с вами два года: забронировали одну из лучших и самых живописных площадок города, отобрали самые сильные доклады и сформировали мощную программу.
Однако в связи с неутихающим распространением инфекции и недавним ужесточением антиковидных мер в г. Санкт-Петербург в планах произошли непредсказуемые изменения. Теперь наша долгожданная встреча переносится на август.
Новая дата конференции – 25 августа 2021. Место остается то же – “Севкабель Порт”.
Для участников, которым не подходит эта дата, мы предусмотрели процедуру возврата билетов.
При возврате до 30 июня стоимость всех купленных билетов будет возмещена в полном объеме. После 30 июня – от суммы будет удержана комиссия. Если возникнут вопросы, смело пишите на visitor@zeronights.org.
Десятая конференция ZeroNights не может не состояться! Дополнительное время мы уделим организации еще большего количества активностей и расширению программы.
Конкурс от партнера ZeroNights
Компания Bitaps запустила баг-баунти программу для резервного хранения мнемонических фраз от кошельков с использованием схемы разделения секрета Шамира. И вы уже можете отправлять свои баг-репорты!
На конференции мы наградим участников, которые нашли недостатки и уязвимости в представленных реализациях схемы.
Суть конкурса и призы
Компания Bitaps запустила баг-баунти программу для резервного хранения мнемонических фраз от кошельков с использованием схемы разделения секрета Шамира. И вы уже можете отправлять свои баг-репорты!
На конференции мы наградим участников, которые нашли недостатки и уязвимости в представленных реализациях схемы.
Суть конкурса и призы
Сделаем ZeroNights еще лучше вместе!
ZeroNights приглашает компании, сообщества и СМИ к сотрудничеству.
Если вы хотите стать партнером конференции, информационно поддержать мероприятие или подготовить активность на площадке, пишите на почту pr@zeronights.org
ZeroNights приглашает компании, сообщества и СМИ к сотрудничеству.
Если вы хотите стать партнером конференции, информационно поддержать мероприятие или подготовить активность на площадке, пишите на почту pr@zeronights.org
Практические воркшопы на ZeroNights 💻
Воркшоп по SELinux
Иван Агарков расскажет и покажет основы администрирования SELinux на примере стандартных политик для дистрибутива CentOS. Все желающие смогут поупражняться на живом сервере и посмотреть работу защиты в действии.
Red Team 101
Этот воркшоп посвящен тем основам, которые обязан знать каждый red team. Планируется запуск полноценной red-team операции с фиктивной целью.
Комплексное обучение атакам на приложения
Александр Савельев поможет изучить основы атак на приложения. Вы рассмотрите уязвимости незащищенной информации, побрутите архивы, попробуете отыскать временные файлы .swp. Наглядно разберете, как извлечь исходный код приложения.
Практический интенсив по взлому веб-приложений
Вы будете взламывать веб-приложения, начиная с таких атак, как CSRF, XSS, IDOR и инъекции, и заканчивая более продвинутыми. Приготовьтесь здорово провести время!
Подробнее
Воркшоп по SELinux
Иван Агарков расскажет и покажет основы администрирования SELinux на примере стандартных политик для дистрибутива CentOS. Все желающие смогут поупражняться на живом сервере и посмотреть работу защиты в действии.
Red Team 101
Этот воркшоп посвящен тем основам, которые обязан знать каждый red team. Планируется запуск полноценной red-team операции с фиктивной целью.
Комплексное обучение атакам на приложения
Александр Савельев поможет изучить основы атак на приложения. Вы рассмотрите уязвимости незащищенной информации, побрутите архивы, попробуете отыскать временные файлы .swp. Наглядно разберете, как извлечь исходный код приложения.
Практический интенсив по взлому веб-приложений
Вы будете взламывать веб-приложения, начиная с таких атак, как CSRF, XSS, IDOR и инъекции, и заканчивая более продвинутыми. Приготовьтесь здорово провести время!
Подробнее
Конкурс «ZeroLab»
На конференции ZeroNights 2021 вы сможете принять участие в конкурсе от Digital Security «ZeroLab». На площадке нужно будет найти бочки-зарядные станции, где вас будет ждать QR-код с заданием.
Подробнее
На конференции ZeroNights 2021 вы сможете принять участие в конкурсе от Digital Security «ZeroLab». На площадке нужно будет найти бочки-зарядные станции, где вас будет ждать QR-код с заданием.
Подробнее
ZeroNights 2021 пройдет 25 августа. Это значит, что до конференции осталось менее месяца.
Следите за новостями, приобретайте билеты, и мы увидимся с вами на ZeroNights!
Следите за новостями, приобретайте билеты, и мы увидимся с вами на ZeroNights!
Теперь в Telegram появился пак из 15 стикеров в стиле десятой конференции ZeroNights!