"Xin chào, mình là Gấu aka th3_5had0w đến từ Wanne.One, với tư cách là á quân 2 trong cuộc thi Cookie Arena 1 vừa rồi thì sau đây là những review của mình."
Cookie Arena được tổ chức bởi Cookie Hân Hoan, một tổ chức giáo dục nhằm phổ biến kiến thức an ninh mạng đến với cộng đồng bằng sự đồng cảm, tươi vui và hài hước.
Giống như cách mà ta đi thi toán, luôn luôn làm những câu dễ trước nhỉ? Đúng, CTF cũng giống vậy. Những câu dễ nhất thuộc phần Network và Web Basic. Thực sự thì 2 phần này không khó, những bạn beginner chưa biết gì cũng có thể làm được với công cụ trợ giúp đắc lực Google. Riêng phần Network thì kiến thức trong này chủ yếu là về Linux và các dòng lệnh cơ bản thôi, các bạn mới chơi chỉ cần đi dạo trên internet một lúc thôi cũng đã có thể làm được rồi. Còn phần Web Basic, như cái tên, nó hướng dẫn cho các bạn các kĩ thuật nền khi tương tác với hạ tầng của một trang web, phần này cũng chưa cần đến khai thác lỗ hổng gì nhiều cả, đa phần liên quan đến cookie, header, đọc và hiểu javascript, can thiệp các request, các thành vần cơ bản của web, các phương thức GET, POST...etc.
Web Exploitation thì nâng cao hơn, đây mới thực sự liên quan đến các kĩ thuật tấn công vào trang web, giống như những câu phân loại điểm 9 10 trong đề thi toán vậy :Đ
Các thử thách ở phần này dựa trên các lỗ hổng phổ biến như: XSS, SSFR, SQL Injection,...
Ở đây có 2 thử thách mà mình khá thích và đánh giá cao đó là "Paparazzi" và "A tiny hole", ngoài việc biết cách tận dụng các lỗ hổng Web, thì còn cần phải hiểu biết nhiều về hệ điều hành Linux.
Có một phần mini bao gồm các thử thách Programming, mình đoán có lẽ BTC thêm vào để khuyến khích các bạn nhỏ làm quen với coding vì phần này với cá nhân mình thì để khá nhẹ nhàng và giải trí.
Tiếp đến với phần Cryptography, phần này cũng không quá khó, vừa tâm nhưng các challenge yêu cầu người chơi có kiến thức nền về toán học và mật mã học, nên bạn nào muốn vjp pro phần này thì nhớ học toán chăm chỉ như mình và tham khảo các ứng dụng của toán vào mật mã học nhé. Tuy nhiên có một thử thách liên quan đến mã hóa AES mà BTC soạn chưa kĩ lắm khiến cho nhiều người phải mò mẫm khá mệt.
Cuối cùng là phần Forensic, phần này liên quan nhiều đến pháp chứng kĩ thuật số, có nghĩa là điều tra các dấu vết hay manh mối còn sót lại sau một cuộc tấn công của tin tặc như kiểm soát gói tin, bóc tách, lọc dữ liệu từ tệp tin ảnh, âm thanh, video... Nghe thì khó nhưng BTC cũng đã làm các thử thách vừa sức với các bạn mới chơi nên bạn nào muốn làm Sherlock Holmes thời @ thì cũng không cần ngại đâu nhé, màn dạo đầu thường nhẹ nhàng và tràn ngập hứng thú. Phần này có một thử thách khá ấn tượng liên quan đến thu nhận và xử lý tín hiệu từ vệ tinh không gian.
Sau cùng thì Cookie Arena 1 đã là một cuộc thi CTF rất vui và mang tính cạnh tranh cao giữa các cá nhân, và cũng là một làn gió mới đến với các thí sinh nhỏ tuổi, tạo điều kiện để cộng đồng bảo mật ở Việt Nam ngày càng phát triển lớn mạnh. Đối với riêng cá nhân mình thì mình có một vài góp ý nho nhỏ đó là nên tăng thêm độ khó cho các thử thách và thêm 2 phần Pwn/Re.
Xin cảm ơn BTC đã tổ chức cuộc thi, các bạn trẻ nếu có hứng thú với ngành bảo mật nói chung và các giải đấu CTF nói riêng thì không những follow mỗi Cookie Hân Hoan mà còn follow cả UIT Inseclab để được đọc các writeup, tìm hiểu thêm về các kĩ thuật hay ho mới mẻ cũng như tham gia các giải đấu trong tương lai do chúng mình tổ chức nhaaaa (UIT Hacking Contest sắp đến rồi á). Sau đây là phần writeup cho 40 thử thách của giải vừa rồi.
https://inseclab.uit.edu.vn/wannashare-writeups-ctf.../
CLB An toàn Thông tin Wanna.One chia sẻ một số thử thách giải được và việc chia sẻ writeup nhằm mục đích giao lưu học thuật. Mọi đóng-góp ý-kiến bọn mình luôn-luôn tiếp nhận qua mail: wannaone.uit@gmail.com hoặc inseclab@uit.edu.vn.
Thông tin chi tiết: https://www.facebook.com/inseclab
Hải Băng - Cộng tác viên Truyền thông trường Đại học Công nghệ Thông tin
