Standoff 17 — впечатления и результаты

Я разбираю реальные веб‑уязвимости и показываю, как их искать, эксплуатировать в безопасной среде и закрывать в проде. Без воды: чек‑листы атак, редкие кейсы, ошибки разработчиков и практики защиты от CSRF, XXE, Prototype Pollution, десериализации, race conditions, XSS и не только. Если вы пишете веб или проверяете его на прочность — вам сюда.

standoffctfкибербезопасность

В минувшую неделю проходила, вероятно, крупнейшая кибербитва, существующая в РФ к текущему моменту. Рассказывать о том, что это такое особо не буду - если вы интересуетесь сферой, то должны были как минимум слышать об этом. Поделюсь лучше своими результатами/впечатлениями.

  • 🗡️ Как всегда - впечатляющие масштабы. Предположу, что я даже глазками больше 20% того, что там существовало, не успел посмотреть за 3,5 дня соревнований
  • 🗡️ В этом году к происходящему у меня больше вопросов, чем в прошлом. Например, мув противодействующего сока, который заблокировал легитимную функциональность, используемую для реализации критического события, был прям суперсомнительным. Как верно подмечали в чате, если ваш сок своими действиями свел доступность сервиса для обычных пользователей к 60%, то скорее всего такой сок ждут массовые увольнения). Были и вопросы к стабильности, но они есть каждый год, что, как мне кажется, почти является стандартным для соревнований таких масштабов. Однако, можно было и постабильнее, а то некоторые приложения прям совсем хрупкими были
  • 🗡️ Слышал много жалоб на новый динамический скоринг. На мой взгляд, у него есть свои плюсы и минусы, но имхо, мне кажется, что тут получилось достаточно справедливое оценивание. Конечно, это может плохо работать для сегментов с реагированием (особенно с приколами сока, что описал выше). Но, мне бы жаловаться - по факту засчет этой новой системы мы и заняли свое место в топе)
  • 🗡️ Ну и результаты! В этом году мы с командой заняли 6 место! Это неплохой такой рост с 16 места в прошлом году, но по-прежнему есть куда расти. Остановили движение поездов, украли ответы к ЕГЭ и сделали еще много чего прикольного

В общем и целом, было интересно. И аналогично предыдущему разу, у меня на послевкусие остается сильная мотивация снова потыкать что-то похожее. На этой ноте, пожалуй, и закончу. Развивайтесь и побеждайте, товарищи!

#standoff #achievement #ctf
☠️ Hunt Or Be Hunted

Скриншот таблицы рейтинга атакующих команд Standoff 17: места, баллы и подсветка команды на 6‑м месте; тёмный фон и табличная компоновка.
Таблица рейтинга атакующих команд Standoff 17 с подсвеченной командой на 6‑м месте.
Фотография киберзала: участники соревнования Standoff 17 работают за множеством мониторов в командной зоне, атмосфера сосредоточенности.
Участники Standoff 17 за рабочими местами во время соревнований.

Дискуссия

Daniil Filippov
Легенда, брачо 🙏 В прочем как и всегда 😎
Критика чистого разума (Hunt Or Be Hunted Chat)
h3air1
"Украли ответы к ЕГЭ" Почему не сказал..18 числа у меня же экз был😆
Там на 2030 год по китайскому - боюсь, не помогло бы)
Присоединиться к обсуждению →

Читайте так же