Совсем недавно

CSP - относительно недавняя технология, позволяющая определить политику безопасности, которая должна применяться на стороне клиента (веб-браузер). Выявите ошибки конфигурации и поймите связанные с ними методы обхода с помощью этой новой серии задач:

• CSP Bypass - Inline code
• CSP Bypass - JSONP
• CSP Bypass - Dangling markup
• CSP Bypass - Dangling markup 2

Еще раз спасибо CanardMandarin за его работу над темой!

Мы рады приветствовать государственное учреждение ENSTA Bretagne в качестве нового академического спонсора Root-Me. Инженерная школа будет использовать среду Root-Me PRO для обучения своих студентов в области кибербезопасности.

Основанный на наследии обучения в кампусе в Бресте с 1819 года, ENSTA Bretagne и его история идут рука об руку с историей машиностроения, промышленности, арсеналов и новых технологий во Франции.

Мы рады объявить о новом спонсорстве с компанией GEOIDE Crypto&Com, специализирующейся на разработке продуктов для кибербезопасности в сочетании с решениями для гипервидения и поддержки принятия решений.

What happened?

По своей структуре фонд Root-me всегда доверял всем своим членам, и, если уж на то пошло, самые активные из них обычно имеют права администратора.
Администратор платформы, который в свое время внес большой вклад в проект и с тех пор скрылся, занимаясь своей профессиональной и семейной жизнью, стал жертвой атаки повторного использования пароля: пароль его электронной почты оказался в утечке, и, к сожалению, он был таким же, как и на платформе Root-Me. Этот взломанный аккаунт был использован для получения неправомерного доступа к бэкенду, с которого осуществляется администрирование Root-Me.

Когда это произошло?

Вторжение началось 23 мая и продолжалось до следующего дня, 24 мая 2020 года.

Каковы последствия?

Были украдены решения вызова, а также адреса электронной почты. Хеши паролей не пострадали. Другие украденные данные, такие как открытые ключи GPG или имена пользователей, уже являются открытой информацией, отображаемой в профилях.

А теперь?

Чтобы защитить наш бэкенд и, соответственно, ваши данные, мы решили установить двухфакторную аутентификацию на основе GPG для учетных записей с правами администратора.

Новая серия испытаний в Windows Kernel уже доступна! Первый вызов открыт для всех, в то время как остальные временно эксклюзивны для премиум-участников и будут открыты для публики в следующие даты:

• WinKern x64 - shellcoding: token stealing: публика
• WinKern x64 - Stack buffer overflow advanced - ROP: 24 февраля
• WinKern x64 - Use After Free: 24 марта

Большое спасибо Synacktiv, __syscall за их задачи!
Еще одно большое спасибо und3ath и Ech0 за их работу над архитектурой этих упражнений.

За более чем 10 лет своего существования Root-Me стал онлайн-платформой, предлагающей наибольшее количество и разнообразие практического контента, посвященного кибербезопасности (этический взлом, devsec, судебная экспертиза и т.д.). Благодаря сообществу, насчитывающему около 300 000 участников, их вклад позволяет Root-Me предлагать реалистичный, документированный и адаптированный контент для решения технических вопросов, с которыми сталкиваются специалисты по кибербезопасности. Недавно также были введены новые категории упражнений: серия Blockchain Ethereum, серия Windows PE, серия Windows Kernel.

Благодаря этому опыту, платформой Root-Me сегодня пользуются игроки со всего мира, в том числе многие профессионалы, желающие обучить свои команды, организовать мероприятия по кибербезопасности (CTF, Хакатон и т.д.) или выявить новые таланты. Столкнувшись с этими потребностями и отвечая на многочисленные запросы школ и компаний, мы нашли время, чтобы подготовить полное предложение, которое вы теперь можете найти на платформе Root Me Pro.

Для получения дополнительной информации, не стесняйтесь обращаться к командам Root Me Pro!

Synacktiv - это компания, специализирующаяся на наступательной безопасности, основанная в 2012 году несколькими экспертами в этой области. Мы набираем квалифицированных специалистов в различные команды: "красная команда", реверс-инжиниринг и разработка инструментов для наступления. Synacktiv имеет команду из более чем 55 экспертов по безопасности и 4 офиса во Франции (Париж, Тулуза, Ренн и Лион).

Synacktiv получил аккредитацию CESTI от ANSSI (Французского национального агентства по компьютерной безопасности) и собирается получить аккредитацию PASSI.

Опубликован новый набор задач по эксплуатации бинарных файлов Windows!

Первый вызов является публичным, а остальные три временно эксклюзивны для премиум-участников. В свою очередь, они станут общедоступными в следующие сроки:

– PE32 - Stack buffer overflow basic: общественность
– PE32 - Advanced stack buffer overflow: 3 января
– PE32+ Format string bug: 3 февраля
– PE32+ Basic ROP: март 3

API, позволяющий взаимодействовать с данными Root-Me, теперь доступен по адресу api.www.root-me.org. Доступны следующие точки доступа:

• /login
• /challenges
• /challenges/id_challenge
• /auteurs
• /auteurs/id_auteur
• /environnements_virtuels
• /environnements_virtuels/id_environnement_virtuel

Эта работа еще не завершена, пожалуйста, будьте внимательны.

Опубликован новый набор задач по теме смарт-контрактов Ethereum!

Первый вызов является публичным, а остальные три - эксклюзивными для премиум-участников. В свою очередь, они станут общедоступными в следующие сроки:

• Ethereum - Tutoreum: общественность
• Ethereum - Takeover: декабрь 22
• Ethereum - NotSoPriv8: январь 22
• Ethereum - BadStack: февраль 22