[Owasp-board] FW: OWASP Conference - Capture the flag

Sebastien Deleersnyder Sebastien.Deleersnyder at telindus.be
Wed Dec 12 07:54:59 UTC 2007


Gents,

 

More information on CTF below (in Dutch J)

Comes down to setup of web apps with ‘flags’ hidden in vulnerabilities. 

This hash based Flag can be claimed upon retrieval allowing a real-time view on proceedings.

E&Y will do the setup & follow-up: I would put that as a separate booth in the vendor space to make it more attractive.

 

CTF would be open for all conference participants through some physical lines and/or wireless, who should get OWASP gadgets in return

 

First ideas:

In a hidden sub-directory /config/admin/ there is a file named include.xml. -> skill based flag 
2. After correctly answering 10 questions about web application security correct a FLAG is shown -> knowledge based flag 
3. By bypassing the authentication mechanism of the application, a flag is hidden in the profile information of the user -> skill based flag

 

They have experience in doing this on SANS with infrastructure CTF contests.

 

Regards

 

Seba

 

Sebastien Deleersnyder
CISSP <https://www.isc2.org/cgi-bin/content.cgi?category=97> , CISM <http://www.isaca.org/cism> , CISA <http://www.isaca.org/cisa> 
Competence Domain Captain Specialised Security Services
Telindus NV
Geldenaaksebaan 335, B-3001 Heverlee, Belgium
Mailto:sebastien.deleersnyder at telindus.be <Mailto:sebastien.deleersnyder at telindus.be> 
T +32 16 385 608
F +32 16 400 102
M +32 478 504 117
Telindus. Change things your way.
http://www.telindus.be <http://www.telindus.be> 

From: Pieter Danhieux [mailto:pieter.danhieux at be.ey.com] 
Sent: 11 December 2007 20:44
To: Sebastien Deleersnyder
Cc: Lieven Desmet; Wouter Veugelen; Arnold Meyers
Subject: RE: OWASP Conference - Capture the flag

 


Seba, 

ik heb wel al een CTF opgezet voor SANS en die is eigenlijk gebruiksklaar, maar deze is toegespitst op infrastructuur pentesting en minder op applications, dus ik denk dat deze niet echt goed staat op een OWASP conferentie. 

Optie 1 lijkt mij ook het beste, maar daar zal veel tijd in kruipen. Eventueel kan ik eens bij mijn vrienden van Cybertrust of Deloitte aankloppen of ze hier ook aan willen meewerken. Bij EY kunnen we hier wel met 3 personen af en toe aan werken... 

Ik dacht aan volgende concept voor de CTF: 

Op 1 of meerdere web applicaties zullen verschillende flaggen verborgen zitten, zoals: 
1. In a hidden sub-directory /config/admin/ there is a file named include.xml. -> skill based flag 
2. After correctly answering 10 questions about web application security correct a FLAG is shown -> knowledge based flag 
3. By bypassing the authentication mechanism of the application, a flag is hidden in the profile information of the user -> skill based flag 
... 
Elk van die vlaggen zullen een (static/dynamic based upon cookie, source IP address) hash voorstellen die moet gesubmit worden via een webpagina (of een ander systeem) samen met een unieke identified (username/email). Een achterliggend script checkt dan deze vlaggen in realtime en kent scores toe aan dit emailadres/login. Een pagina wordt dan elke minuut gerefreshed waar de scores live kunnen gevolgd worden. Als een van de eindpresentaties van de conferentie kunnen dan de oplossingen getoond worden. 

De setup zal grotendeels op virtuele machines draaien en dus beschikbaar zijn via netwerkkabel (indien aanwezig) of we kunnen een wifi-gateway voorzien. Het voordeel hiervan is dat we realtime kunnen monitoren wat er op de systemen gebeurt, en ze ook makkelijk 'restoren' naar de originele staat indien iemand iets kapotmaakt. 

Wanneer gaat die conference terug door? Kwestie dat ik weet hoe veel vaart ik er moet achtersteken :-) 

mvg,

ERNST & YOUNG ®
Ernst & Young Belgium
Pieter Danhieux
Security Auditor, GSE, CISSP, CISA
Risk Advisory Services
204 Avenue Marcel Thiry Laan
1200 Brussels
Phone: +32 (0)2 774 64 02 



"Sebastien Deleersnyder" <Sebastien.Deleersnyder at telindus.be> 

11/12/2007 20:18 

To

"Pieter Danhieux" <pieter.danhieux at be.ey.com> 

cc

"Lieven Desmet" <lieven.desmet at cs.kuleuven.be>, "Wouter Veugelen" <wouter.veugelen at be.ey.com> 

Subject

RE: OWASP Conference - Capture the flag

 

		




Pieter, 
  
Heb zelf nog geen ervaring met CTF opzetten. Ik heb de vraag gesteld aan Wayne in Taiwan en hou je op de hoogte van antwoord. 
  
Optie 1 ziet er het interessantste uit, is dat iets waar jullie ook resources aan zouden besteden? 
Eventueel kan dit gecombineerd worden met WebGoat: daar zijn de lessen wel al bekend. 
Optie 2 is zeker ook bespreekbaar: hoe zie je dit praktisch? 
  
Voor setup: zou die on-site zijn, of is er een Internet link waarop die bereikbaar komt? 
Hoe ‘zichtbaar’ kunnen we dit maken aan conference bezoekers: kunnen we CTF proceedings / scores real-time laten zien op een scherm? 
  
Uiteraard zullen hiervoor OWASP T-Shirts en zelfs OWASP boeken voor uitgeloofd worden ! 
  
Mvg 
  
Seba 
  
Sebastien Deleersnyder
CISSP <https://www.isc2.org/cgi-bin/content.cgi?category=97> , CISM <http://www.isaca.org/cism> , CISA <http://www.isaca.org/cisa> 
Competence Domain Captain Specialised Security Services
Telindus NV
Geldenaaksebaan 335, B-3001 Heverlee, Belgium
Mailto:sebastien.deleersnyder at telindus.be <Mailto:sebastien.deleersnyder at telindus.be> 
T +32 16 385 608
F +32 16 400 102
M +32 478 504 117
Telindus. Change things your way.
http://www.telindus.be <http://www.telindus.be/>  
From: Pieter Danhieux [mailto:pieter.danhieux at be.ey.com] 
Sent: 28 November 2007 11:28
To: Sebastien Deleersnyder
Cc: Lieven Desmet; Wouter Veugelen
Subject: RE: OWASP Conference - Capture the flag 
  

Seba, 

hangt er een beetje vanaf hoe we dit "spel" zouden aanpakken: 

1) Zelf een "capture the flag" game programmeren in web app -> time consuming, maar wel perfecte controle over de wegen naar flags 
2) Voorbeeld "vulnerable" applicaties van EY gebruiken en daar vlaggen in verbergen -> efficient, maar minder controle over de verschillende wegen naar een flag 
3) Voorbeeld "vulnerable" applicaties beschikbaar op het Internet -> oplossing staat vaak online 

Voor de infrastructuur zelf (system, switches, ...) kan ik wel zorgen via ons lab. 

In elk geval moet er iets verbonden zijn aan het vinden van vlaggen. Tijdens mijn SANS capture the flag geef ik meestal wat freebie gadget stuff weg zoals SANS T-shirts, marketing gadgets van Core Impact, OpenBSD, ... Dus misschien dat er zoiets bestaat als OWASP T-Shirts die we kunnen geven aan iedereen die wat vlaggen vind? 

Kun jij eventueel te weten komen van OWASP Asia wat en hoe ze het precies gedaan hebben? 

mvg,

ERNST & YOUNG ®
Ernst & Young Belgium
Pieter Danhieux
Security Auditor, GIAC GSE, CISSP, CISA
Risk Advisory Services
204 Avenue Marcel Thiry Laan
1200 Brussels
Phone: +32 (0)2 774 64 02 

"Sebastien Deleersnyder" <Sebastien.Deleersnyder at telindus.be> 

28/11/2007 08:26 

 

To

"Pieter Danhieux" <pieter.danhieux at be.ey.com> 

cc

"Wouter Veugelen" <wouter.veugelen at be.ey.com>, "Lieven Desmet" <lieven.desmet at cs.kuleuven.be> 

Subject

RE: OWASP Conference - Capture the flag


  

 

		





Pieter, 
 
Een zeer goed initiatief. Iets wat we zeker kunnen opnemen in de agenda. 
 
Wat heb je hier praktisch voor nodig? 
 
Thx! 
 
Seba 

Sebastien Deleersnyder
CISSP <https://www.isc2.org/cgi-bin/content.cgi?category=97> , CISM <http://www.isaca.org/cism> , CISA <http://www.isaca.org/cisa> 
Competence Domain Captain Specialised Security Services
Telindus NV
Geldenaaksebaan 335, B-3001 Heverlee, Belgium
Mailto:sebastien.deleersnyder at telindus.be <mailto:sebastien.deleersnyder at telindus.be> 
T +32 16 385 608
F +32 16 400 102
M +32 478 504 117
Telindus. Change things your way.
http://www.telindus.be <http://www.telindus.be/>  

  

 

________________________________


From: Pieter Danhieux [mailto:pieter.danhieux at be.ey.com] 
Sent: 28 November 2007 07:06
To: Sebastien Deleersnyder
Cc: Wouter Veugelen
Subject: OWASP Conference - Capture the flag


Seba, 

op de laatste OWASP chapter meeting zag ik in uw slides iets staan van een "Capture the flag" wedstrijd in een of andere OWASP Asia conference. Ik weet niet wat uw idee hier rond is, maar ik zou het wel zien zitten om iets dergelijks op poten te zetten voor OWASP conference in Brussel volgend jaar. 

mvg,

ERNST & YOUNG ®
Ernst & Young Belgium
Pieter Danhieux
Security Auditor, GIAC GSE, CISSP, CISA
Risk Advisory Services
204 Avenue Marcel Thiry Laan
1200 Brussels
Phone: +32 (0)2 774 64 02

----------------------------------------------------------
The information contained in this communication is intended solely for the use of the individual or entity to whom it is addressed and others authorized to receive it.   It may contain confidential or legally privileged information.   If you are not the intended recipient you are hereby notified that any disclosure, copying, distribution or taking any action in reliance on the contents of this information is strictly prohibited and may be unlawful. If you have received this communication in error, please notify us immediately by responding to this email and then delete it from your system. Ernst & Young is neither liable for the proper and complete transmission of the information contained in this communication nor for any delay in its receipt. 


----------------------------------------------------------
The information contained in this communication is intended solely for the use of the individual or entity to whom it is addressed and others authorized to receive it.   It may contain confidential or legally privileged information.   If you are not the intended recipient you are hereby notified that any disclosure, copying, distribution or taking any action in reliance on the contents of this information is strictly prohibited and may be unlawful. If you have received this communication in error, please notify us immediately by responding to this email and then delete it from your system. Ernst & Young is neither liable for the proper and complete transmission of the information contained in this communication nor for any delay in its receipt. 


----------------------------------------------------------
The information contained in this communication is intended solely for the use of the individual or entity to whom it is addressed and others authorized to receive it.   It may contain confidential or legally privileged information.   If you are not the intended recipient you are hereby notified that any disclosure, copying, distribution or taking any action in reliance on the contents of this information is strictly prohibited and may be unlawful. If you have received this communication in error, please notify us immediately by responding to this email and then delete it from your system. Ernst & Young is neither liable for the proper and complete transmission of the information contained in this communication nor for any delay in its receipt. 

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.owasp.org/pipermail/owasp-board/attachments/20071212/24ff2638/attachment-0002.html>


More information about the Owasp-board mailing list