Что требуется от web-разработчика на CTF (подготовка к RUCTFE 2009)
RuCTFE 2009 – это международные соревнования по информационной безопасности. На них зарегистрировалось рекордное количество команд ( аш 43!!! ).
Существует распространённое мнение что обычно web-сервисы самые дырявые на соревнованиях. И что делать специалисту по web, учитывая что потенциально его сайт может взломать 42 команды?
Поднимаются web сервисы достаточно быстро, поэтому необходимо за короткое время, от получения образа до начала соревнований, залатать как можно больше дыр. Вариантов предостаточно, и всевозможные sql уязвимости, и уязвимости при загрузке файлов. Но нельзя забывать записывать информацию о найденных уязвимостях, и при первой возможности начинать попытки удалённых атак.
Кстати, а какие места в коде можно считать уязвимыми? думаю все, что связанны с запросами. Поэтому видя любой глобальный массив стоит задумываться.?.
О чём ещё нельзя забывать?
- лог файлы сервера;
- статистика на сервере жюри;
- написанные advisory, да и своих можно понаписать;
- ещё кое-какие интересные инструмменты для защиты.
думаю о результатах RuCTF 2009, впечатлениях, о том что получилось, а что нет, обязательно появится новая запись в блоге.
считаю что будет интересно если для web сервиса будет использоваться нестандартные технологии, по крайней мере не слишком надоевшие.