From gamajun at seclab.cs.msu.su Tue Nov 12 15:15:36 2013 From: gamajun at seclab.cs.msu.su (Dennis Gamayunov) Date: Tue, 12 Nov 2013 19:15:36 +0400 Subject: [infosec-course] =?utf-8?b?0JHQtdC30L7Qv9Cw0YHQvdC+0YHRgtGMINC/?= =?utf-8?b?0YDQuNC70L7QttC10L3QuNC5IC0g0JfQsNC00LDQvdC40LUg0L/QviBTU0wv?= =?utf-8?q?TLS?= Message-ID: <52824618.5090006@seclab.cs.msu.su> Коллеги, На вчерашней лекции я задал задание на настройку SSL на веб-сервере, дублирую его в рассылку. Нужно сделать следующее: 1) Взять ваш любимый вебсервер (apache2 или nginx) 2) Взять пакет easy-rsa (под Linux), сгенерировать цепочку сертификатов, начиная с сертификата CA, и заканчивая сертификатами сервера и клиента. 3) Настроить на виртуальной машине веб-сервер со статической страницей, которая раздаётся по HTTPS (при заходе по HTTP сервер должен перенаправлять клиента на HTTPS). При этом должен быть использован сертификат, созданный на этапе 2. Проверять заходом на эту страницу и кликом на значок защищенного содинения в адресной строке браузера - присылайте скриншот с окошком просмотре сгенерированного вами сертификата сервера. 4) Настроить на том же веб-сервере аутентификацию клиента по сертификату при заходе на ранее созданную статическую страничку. Зайти браузером без сертификата. Снять скриншот результата. Импортировать клиентский сертификат в браузер, и снова зайти на страничку. Снять скриншот результата. Показать клиентский сертификат в диалоге управления сертификатами в браузере (тоже скриншот). Скриншоты присылайте мне или Андрею. С уважением, Денис Гамаюнов From petand at lvk.cs.msu.su Mon Nov 18 16:09:13 2013 From: petand at lvk.cs.msu.su (Andrew Petukhov) Date: Mon, 18 Nov 2013 20:09:13 +0400 Subject: [infosec-course] =?utf-8?b?0J/RgNC10LfQtdC90YLQsNGG0LjRjyDQv9C+?= =?utf-8?q?_AuthC/Z=2C_Session_Mgmt=2C_SSL/TLS?= Message-ID: <528A3BA9.3060304@lvk.cs.msu.su> Добрый вечер. Сабж онлайн. Задание по Session Management скоро последует. Удачи Петухов Андрей From petand at lvk.cs.msu.su Tue Nov 19 15:42:32 2013 From: petand at lvk.cs.msu.su (Andrew Petukhov) Date: Tue, 19 Nov 2013 19:42:32 +0400 Subject: [infosec-course] =?koi8-r?b?4sXaz9DB087P09TYINDSyczP1sXOycogLSD6?= =?koi8-r?b?wcTBzsnFINDPINPF09PJ0c0=?= Message-ID: <528B86E8.4000108@lvk.cs.msu.su> Коллеги, Вчера Иван Новиков на лекции дал задание по сессиям, дублирую его сюда. Необходимо установить систему управления блогами с https://github.com/WordPress/WordPress. После установки вернуть значения параметров криптографии в конфиге приложения: define('AUTH_KEY', 'put your unique phrase here'); define('SECURE_AUTH_KEY', 'put your unique phrase here'); define('LOGGED_IN_KEY', 'put your unique phrase here'); define('NONCE_KEY', 'put your unique phrase here'); define('AUTH_SALT', 'put your unique phrase here'); define('SECURE_AUTH_SALT', 'put your unique phrase here'); define('LOGGED_IN_SALT', 'put your unique phrase here'); define('NONCE_SALT', 'put your unique phrase here'); на значения по-умолчанию из https://github.com/WordPress/WordPress/blob/master/wp-config-sample.php Необходимо написать программу для подбора идентификатора сессии для доступа к системе с правами администратора, если email и login известны атакующему. Подразумевается, что вам придется разобраться со структурой идентификаторов сессий приложения и правилами их генерации. Присылать надо свой эксплойт для подбора идентификатора. Вопрос задавать можно мне или напрямую Ивану (чей адрес узнать у меня же). Удачи! Петухов Андрей