From petand at lvk.cs.msu.su Mon Dec 9 20:55:57 2013 From: petand at lvk.cs.msu.su (Andrew Petukhov) Date: Tue, 10 Dec 2013 00:55:57 +0400 Subject: [infosec-course] =?utf-8?b?0J7RgNCz0LDQvdC40LfQsNGG0LjQvtC90L0=?= =?utf-8?b?0L7QtSDRgdC+0L7QsdGJ0LXQvdC40LU=?= Message-ID: <52A62E5D.1000900@lvk.cs.msu.su> Коллеги, Сегодня мы закончили читать спецкурс "Безопасность приложений". Все слайды сейчас выложены на странице курса: http://course.secsem.ru/lections Информация по домашним заданиям последует следом. Экзамены предполагается проводить 23 декабря и в 20-х числах января. Выбирайте, какой вариант вам больше нравится, и приходите. Напомню, что наличие сделанных домашних заданий - необходимое условие получения положительной оценки. Удачи! p.s. Кроме того, жду вашего фидбека, можно анонимно. С уважением, Петухов Андрей From petand at lvk.cs.msu.su Mon Dec 9 21:02:11 2013 From: petand at lvk.cs.msu.su (Andrew Petukhov) Date: Tue, 10 Dec 2013 01:02:11 +0400 Subject: [infosec-course] =?koi8-r?b?4sXaz9DB087P09TYINDSyczP1sXOycogLSD3?= =?koi8-r?b?2sHJzc/ExcrT1NfJxSDTINfOxdvOyc3JINDPxNPJ09TFzcHNyQ==?= Message-ID: <52A62FD3.1000605@lvk.cs.msu.su> Коллеги, В данном письме содержится домашнее задание по теме "Взаимодействие с внешними подсистемами". 1. Задания по теме SQLi содержатся в презентации. Пруф мне присылать не требуется. На экзамене я могу попросить найти и раскрутить уязвимость в Hacme Bank. Или объяснить, как работает rand(0) в MySQL. 2. Задание по XXE. Требуется написать простейшую страницу на PHP, которая берет XML-строку из тела запроса и строит по ней DOM-модель. Тестовые запросы приложению можно посылать из Burp Suite Repeater'а. Требуется проверить (методом отсылки HTTP-запроса на контролируемый веб-сервер), что по умолчанию при данном построении будут разрешаться внешние сущности. Требуется написать на Питоне скрипт, которые эксплуатирует данную PHP-страницу для сканирования локальных портов. Прислать вывод netstat -a и результат работы скрипты (скриншоты), а также код скрипта. Для удобства кодирования используейте httplib. Удачи! Петухов Андрей From petand at lvk.cs.msu.su Mon Dec 9 21:15:16 2013 From: petand at lvk.cs.msu.su (Andrew Petukhov) Date: Tue, 10 Dec 2013 01:15:16 +0400 Subject: [infosec-course] =?koi8-r?b?4sXaz9DB087P09TYINDSyczP1sXOycogLSBS?= =?koi8-r?b?ZW1vdGUgQ29kZSBFeGVjdXRpb24=?= Message-ID: <52A632E4.5010403@lvk.cs.msu.su> Коллеги, В данном письме содержится домашнее задание по теме "Remote Code Execution". Требуется составить две программы на языке Питон, которые - десериализуют объект с помощью модуля pickle, в результате чего выполняется подключение с помощью netcat на заданный удаленный (для тестов можно и локлаьный) хост и порт 31337, в резульате чего образуется полностью интерактивный шелл с системой, на которой была выполнена десериализация; - тоже самое, но для десериализации используется модель PyYAML. Присылать скриншоты работающего интерактивного шелла и коды двух программ. В помощь: http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet https://twitter.com/ioerror/status/7830535361 http://pyyaml.org/wiki/PyYAMLDocumentation Удачи! Петухов Андрей From gamajun at seclab.cs.msu.su Tue Dec 10 09:43:43 2013 From: gamajun at seclab.cs.msu.su (Dennis Gamayunov) Date: Tue, 10 Dec 2013 13:43:43 +0400 Subject: [infosec-course] =?utf-8?b?0LfQsNC00LDRh9C4INC/0L4g0YHQv9C10YY=?= =?utf-8?b?0LrRg9GA0YHRgw==?= Message-ID: <52A6E24F.5000201@seclab.cs.msu.su> Коллеги, Готовы варианты задач по лекциям Ивана Чижова. Задача 1. Найти все корни квадратного уравнения x^2=a mod p*q Задача 2. Факторизовать число N, используя (p-1)-метод Полларда Задача 3. Дан слабый ключ RSA (N=, e=) факторизовать число N, используя теорему Винера (малый показатель расшифрования) Желающие решать задачи, напишите мне письмо с номерами задач, я пришлю параметры соответствующих задач. Каждый получит свой вариант. С уважением, Денис Гамаюнов From gamajun at seclab.cs.msu.su Tue Dec 17 16:00:51 2013 From: gamajun at seclab.cs.msu.su (Dennis Gamayunov) Date: Tue, 17 Dec 2013 20:00:51 +0400 Subject: [infosec-course] =?utf-8?b?0Y3QutC30LDQvNC10L0g0L/QviDRgdC/0LU=?= =?utf-8?b?0YbQutGD0YDRgdGDICLQlNC40LfQsNC50L0g0Lgg0LDRgNGF0LjRgtC10Lo=?= =?utf-8?b?0YLRg9GA0LAg0J7QoSBGcmVlQlNEIg==?= Message-ID: <52B07533.6070700@seclab.cs.msu.su> Коллеги, Для тех, кто не был на последней лекции, напоминаю, что завтра в 18:30 состоится экзамен по спецкурсу. Аудитория та же (607). С уважением, Денис Гамаюнов From petand at lvk.cs.msu.su Thu Dec 19 13:32:15 2013 From: petand at lvk.cs.msu.su (Andrew Petukhov) Date: Thu, 19 Dec 2013 17:32:15 +0400 Subject: [infosec-course] =?utf-8?b?0JHQtdC30L7Qv9Cw0YHQvdC+0YHRgtGMINC/?= =?utf-8?b?0YDQuNC70L7QttC10L3QuNC5IC0g0Y3QutC30LDQvNC10L0=?= Message-ID: <52B2F55F.1090905@lvk.cs.msu.su> Коллеги, Напоминаю, что в понедельник в 18:00 в аудитории П8а состоится экзамен по спецкурсу "Безопасность приложений". Допуск к экзамену - наличие сделанных домашних заданий. В связи с этим хочу спросить: кто собирается сдавать экзамен в этот понедельник? p.s. Вторая итерация экзамена будет в 20-х числах января в следующем году. С уважением, Петухов Андрей From petand at lvk.cs.msu.su Mon Dec 23 08:40:19 2013 From: petand at lvk.cs.msu.su (Andrew Petukhov) Date: Mon, 23 Dec 2013 12:40:19 +0400 Subject: [infosec-course] =?koi8-r?b?4sXaz9DB087P09TYINDSyczP1sXOycogLSDc?= =?koi8-r?b?y9rBzcXO?= In-Reply-To: <52B2F55F.1090905@lvk.cs.msu.su> References: <52B2F55F.1090905@lvk.cs.msu.su> Message-ID: <52B7F6F3.8030209@lvk.cs.msu.su> Добрый день, коллеги. Итак, сегодня сдавать желающих не набралось. Таким образом, экзамен сегодня не состоится, а будет проходить в 20-х числах января. Или кто-то, все-таки, решил сдавать? С уважением, Петухов Андрей 19/12/13 17:32, Andrew Petukhov пишет: > Коллеги, > > Напоминаю, что в понедельник в 18:00 в аудитории П8а состоится экзамен > по спецкурсу "Безопасность приложений". Допуск к экзамену - наличие > сделанных домашних заданий. > > В связи с этим хочу спросить: кто собирается сдавать экзамен в этот > понедельник? > > p.s. Вторая итерация экзамена будет в 20-х числах января в следующем году. > > С уважением, > Петухов Андрей > > _______________________________________________ > course mailing list > course at secsem.ru > http://lists.secsem.ru/cgi-bin/mailman/listinfo/course From bmth at me.com Tue Dec 24 08:24:26 2013 From: bmth at me.com (Anatoly Ivanov) Date: Tue, 24 Dec 2013 15:24:26 +0700 Subject: [infosec-course] =?koi8-r?b?4sXaz9DB087P09TYINDSyczP1sXOycogLSDc?= =?koi8-r?b?y9rBzcXO?= In-Reply-To: <52B7F6F3.8030209@lvk.cs.msu.su> References: <52B2F55F.1090905@lvk.cs.msu.su> <52B7F6F3.8030209@lvk.cs.msu.su> Message-ID: <52B944BA.20800@me.com> Андрей, добрый день! Мы с Павлом Черемушкиным(второкуры) хотели бы сдать сегодня. Извините, что не сообщил раньше, за кучей прочих писем не заметил просьбу уведомить о присутсвии на экзамене. Конечно, если Вы все еще готовы приехать. С уважением, Иванов Анатолий. On 12/23/2013 03:40 PM, Andrew Petukhov wrote: > Добрый день, коллеги. > > Итак, сегодня сдавать желающих не набралось. Таким образом, экзамен > сегодня не состоится, а будет проходить в 20-х числах января. > > Или кто-то, все-таки, решил сдавать? > > С уважением, > Петухов Андрей > > 19/12/13 17:32, Andrew Petukhov пишет: >> Коллеги, >> >> Напоминаю, что в понедельник в 18:00 в аудитории П8а состоится экзамен >> по спецкурсу "Безопасность приложений". Допуск к экзамену - наличие >> сделанных домашних заданий. >> >> В связи с этим хочу спросить: кто собирается сдавать экзамен в этот >> понедельник? >> >> p.s. Вторая итерация экзамена будет в 20-х числах января в следующем году. >> >> С уважением, >> Петухов Андрей >> >> _______________________________________________ >> course mailing list >> course at secsem.ru >> http://lists.secsem.ru/cgi-bin/mailman/listinfo/course > > _______________________________________________ > course mailing list > course at secsem.ru > http://lists.secsem.ru/cgi-bin/mailman/listinfo/course From linadnil at mail.ru Thu Dec 26 15:35:51 2013 From: linadnil at mail.ru (=?UTF-8?B?0JvQuNC90Ywg0JTQsNC90LjQuw==?=) Date: Thu, 26 Dec 2013 19:35:51 +0400 Subject: [infosec-course] =?utf-8?b?0LfQsNGH0LXRgiDQv9C+INGB0L/QtdGG0YE=?= =?utf-8?b?0LXQvNC40L3QsNGA0YM=?= In-Reply-To: <52B07533.6070700@seclab.cs.msu.su> References: <52B07533.6070700@seclab.cs.msu.su> Message-ID: <1388072151.314220311@f96.i.mail.ru> Добрый вечер. Подскажите, можно ли вас встретить на кафедре до 31 числа? -- Линь Данил -------------- next part -------------- An HTML attachment was scrubbed... URL: From sbudch at gmail.com Thu Dec 26 19:06:41 2013 From: sbudch at gmail.com (=?KOI8-R?B?88XSx8XKIOLVxN7FzsvP?=) Date: Thu, 26 Dec 2013 22:06:41 +0300 Subject: [infosec-course] =?koi8-r?b?2sHexdQg0M8g09DFw9PFzcnOwdLV?= In-Reply-To: <1388072151.314220311@f96.i.mail.ru> References: <52B07533.6070700@seclab.cs.msu.su> <1388072151.314220311@f96.i.mail.ru> Message-ID: вряд ли. вы адресом ошиблись. 26 декабря 2013 г., 18:35 пользователь Линь Данил написал: > Добрый вечер. Подскажите, можно ли вас встретить на кафедре до 31 числа? > > -- > Линь Данил > > _______________________________________________ > course mailing list > course at secsem.ru > http://lists.secsem.ru/cgi-bin/mailman/listinfo/course > > -------------- next part -------------- An HTML attachment was scrubbed... URL: