Вспомним все самые яркие моменты XIII Летней школы CTF ❤️

Кстати, в группе ВК уже можно посмотреть видео и фото со всей смены!

Выражаем благодарность за поддержку Летней школы CTF нашим партнерам, и надеемся на дальнейшее плодотворное сотрудничество ❤️

Результаты конкурса мемов уже через 2 дня, не упустите шанс принять участие 🤩

По итогам голосования побеждает мем от @utochkavluge. Поздравляем победителя! ❤️

Просьба связаться с @wiskas_rawr.

19 августа отмечается Всемирный день фотографии 📸

Поделитесь в комментариях своими любимыми фотографиями с Летней школы CTF всех поколений.

Летняя школа CTF благодарит МТС за ежегодно предоставляемую поддержку ❤️

🔔 Уже сегодня открылась регистрация на соревнования по информационной безопасности — NSK CTF, которые вернулись спустя 7 лет!

Турнир пройдет 11 октября 2025г. с 10:00 до 18:00 (по Новосибирскому времени) на онлайн-платформе.

Принять участие могут команды из 3-5 обучающихся Новосибирской области в одном из двух зачетов:
〰️Школьный: 7-9 классы,
〰️Школьный: 10-11 классы.

Для участия необходимо собрать команду и зарегистрироваться до 10 октября 12:00.

Команды из соседних регионов могут стать участниками турнира в гостевом формате.

За подробной информацией и новостями следите в телеграм-канале NSK CTF! 💚

💬 На Тринадцатую Летнюю школу CTF, как мы объявляли ранее, спикером приезжал Вадим Михайлов — консультант по инфраструктуре координационного центра доменов .RU/.РФ.

В своем интервью Вадим рассказал в чем суть работы координационного центра и какова роль Вадима в КЦ. Поделился мнением об организации Школы и о чем рассказал участникам в своем докладе в этом году. Рассказал, как он успевает совмещать множество спортивных увлечений с работой.

💬 Совместно с Вадимом гостем приехала Ольга Баскакова — руководитель проектов в области ИБ КЦ доменов .RU/.РФ, ранее приезжала на Школу спикером.

Ольга в своем интервью поделилась, какие знания нужны руководителю проектов, какие увлечения помогают отдохнуть от работы и о чем рассказывала на Летней школе CTF, будучи спикером.

Также Вадим и Ольга поделились с участниками советами, как лучше всего начинать свой путь в области информационной безопасности 💗

Помните мы рассказывали, что на Летней школе проходили A/D-соревнования?

Так вот, техническая группа Школы подготовила разбор сервисов с соревнований:
*️⃣Grep as a Service
— Всем знакомая unix утилита, позволяющая искать текст по регулярным выражениям, но в виде веб-сервиса — с возможностью загружать файлы в личное хранилище и искать в них текст.
🔘Уязвимости:
SSRF, позволяющий прочитать внутренний файл логов системы содержащий чувствительную информацию;
LFI, позволяющий прочитать файлы содержащие критически важные переменные среды.

*️⃣Ancient AI
— запуск предшественника современных LLM (bigram language model) на ОС, соответствующей времени его открытия — DOS. Сверху накрутили современный Web UI на flask.
🔘Уязвимости:
Command injection в DOS, позволяющая выгрузить env_file, в котором хранится пароль пользователя prest writer_user;
использование DES с ключом малой длины — 16 бит, что позволяет брутфорсом подобрать ключ, которым зашифрован флаг.

*️⃣DipPic:
— хранилище изображений a.k.a. Image Stock, предоставляющее доступ к множеству картинок с котиками и не только.
🔘Уязвимости:
Слабая генерация ключа подписки, позволяющая скомпрометировать алгоритм проверки премиум-ключа и бесплатно получить подписку;
IDOR на ручке /photo/{photo_id}/file, позволяющий получить доступ к премиум изображениям без подписки;
отсутствие проверки авторизации на ручках админ-панели, позволяющее просматривать хранящиеся на сервисе данные — учетные записи пользователей, премиум изображения.

Ловите репозиторий с райтапами к ним😑

💬 Представляем интервью с Артемом Калашниковым — управляющим директором центра ИБ дочерних и зависимых обществ Газпромбанка, а также членом АРСИБ.

На интервью Артем поделился впечатлениями о Летней школе, на которую приезжает уже не первый год, ранее даже в роли спикера. В этом году он был одним из участников круглого стола АРСИБ, в данном ролике рассказал, что это такое и зачем он проводится.

Также Артем поделился своей идеей структуры программы обучения специалистов сферы информационной безопасности.

🌸 И по традиции интервью не могло завершиться без советов для начинающих специалистов в сфере ИБ.