понедельник, 27 января 2014 г.

Как многие знают, я активный участник эвентов по информационной безопасности и хакингу, которые носят обобщенное название CTF. Кто не знает что это - wiki.
Обычный ctf состоит из некоторого количества несвязанных задач.
Задачи конечно бывают разные, но есть такая тенденция. На самых лучших CTF'ах большинство задач требуют творческого подхода, и не решаются шаблонными действиями. Казалось бы что тут придумаешь нового - SQL инъекция. Однако таскмейкеры постоянно умудряются придумать что то новое. Чего еще не было. Что то не обычное. Как у них получается это делать - это отдельный вопрос. Я честно говоря не понимаю этого, но я не об этом.

Я о том как надо решать эти задания. Для меня есть такая проблема, как шаблоны. Чтобы решить творческую задачу, надо выйти за рамки шаблонов и мыслить творчески.

Вот с последнего CTF - phdays CTF Quals. Задача была на веб + крипто. Собственно есть страница. И она шлет тебе какую то рандомную казалось бы куку каждый раз как на неё заходишь. И всё. Больше ничего на странице нету. Ни форм, ни ссылок. Ничего.
Шаблонное мышление не позволяет решить эту задачу. Я долбился в стену долго, пытаясь что то вставить в куку, расхешировать её (она была 32 байта, я думал это sha256), или найти какие то еще страницы типо /robots.txt.
Потом я попросил помощи у Виктора - даже не помощи, а идею скорее. Он мне и говорит - дай несколько этих кук посмотреть. А я даже об этом и не подумал. Я решил что они случайные и не изучил их как следует. А оказалось что в них легко прослеживается закономерность.
Дальше в этом таске было еще много чего интересного и я его в итоге решил.
Главное что я хочу сказать - это то что перестать действовать шаблонами - путь к решению таких задач. В английском, кстати, есть хорошая устойчивая фраза про это - 'to have an open mind'.
Как вот только заставлять себя быть в этом состоянии - open mind? Это я пока что не знаю.






Комментариев нет:

Отправить комментарий