CTF и практические задания

Классический <script>alert(1)</script> давно не работает на реальных целях: WAF режет его на подлёте, htmlspecialchars экранирует скобки, CSP блокирует инлайн. Но XSS от этого не умирает — он мутирует.

Три типа через призму HTTP-запросов: reflected — контекст вставки определяет пейлоад (HTML / атрибут / JavaScript — разные векторы); stored blind XSS поражает админку через тикет поддержки и ждёт три дня; DOM-based обходит WAF полностью — пейлоад не покидает браузер. CVE-2024-45801 (CVSS 7.3): DOMPurify < 3.1.3 обходится через Prototype Pollution — загрязнение Number.isNaN роняет depth-checker санитайзера. onscrollsnapchanging + base64 в data-атрибутах:

WAF видит безобидный обработчик, браузер исполняет произвольный JS.

Аудит CSP через Google CSP Evaluator и маппинг цепочки на MITRE ATT&CK T1539→T1185.

Веб — самая популярная CTF-категория. Тут нет формулы «запустил скрипт — получил флаг». Побеждает тот, кто быстрее находит отклонение от нормы.

Три устойчивых столпа: SQLi (blind в cookie — sqlmap не нашёл, ручная проверка за минуту), SSRF через Next.js middleware (CVE-2025-57822) → Jenkins без пароля → Groovy RCE, PHP-десериализация через __destruct и phar:// без явного unserialize(). Обёртки меняются, ядро — нет.

Чейнинг на реальных задачах: IDOR → утечка credentials → XSS → кража сессии → LFI → RCE (шесть звеньев, HTB Guardian). Обходы фильтров localhost: http://127.1, decimal IP, gopher://, редиректы.

Пятишаговый чеклист разбора любого веб-таска и четыре ошибки, которые стабильно ломают новичков.

Мой первый CTF: открыл задачу PWN, четыре часа пялился на декомпилированный код в Ghidra — ноль флагов и желание больше не возвращаться. Проблема была не в знаниях. Я начал не с той категории.

Misc и Crypto начального уровня — первые флаги за 15 минут через CyberChef. Web — главный приоритет для карьеры в ИБ. Reverse и PWN — не трогать первые три месяца. Jeopardy-формат — единственный выбор на старте, Attack-Defense — минимум через полгода.

30-дневный план по дням: Bandit → PicoCTF → Burp Suite → первое живое соревнование. Таблица инструментов по категориям и метод трёх проходов для чтения writeup-решений.

Шесть ошибок, которые совершают все новички — и почему 30 минут без прогресса = сигнал переключиться.

В HackerLab запускается сертификация. На текущий момент сертификат доступен участникам, успешно завершившим курс SQL Injection Master и сдавшим итоговый экзамен.

Экзамен представляет собой практическую эксплуатацию уязвимостей в изолированной инфраструктуре. Вы не отвечаете на вопросы - вы атакуете систему, находите уязвимости и шаг за шагом развиваете атаку.

Это не просто «галочка», а результат, подтверждённый практикой.

В честь запуска сертификации дарим промокод на скидку 20% для подписки PRO. Действует до 30 апреля: PRO20

Нажмите, чтобы раскрыть...

Подробности и программа курса

Крупная технологическая корпорация, закрытая внутренняя сеть, подозрительное хранилище данных и минимальная точка входа. Ваша задача — проникнуть в инфраструктуру и выяснить, что скрывается в глубине сети.

Что внутри:

• 3 ВМ, 6 этапов
• сценарий с постепенным развитием доступа
• отличный формат для тренировки логики, разведки и работы во внутренних сетях

Лаборатория доступна по подписке ПРО вместе с сотнями CTF-задач и курсами:

• Введение в информационную безопасность
• SQL Injection Master

Залетай и проверь, насколько хорошо ты умеешь двигаться по сети

https://hackerlab.pro/

Pro-лаба: не одна машина — целая сеть под твоим контролем.

Устал от задач «взломал — получил флаг — забыл»? Пора выйти на новый уровень.

Pro-лаба — это сеть машин с уязвимостями, где нужно ориентироваться в инфраструктуре, разбирать нестандартные протоколы и выстраивать цепочки атак. Часть флагов ведёт глубже, часть — открывает неочевидные ветки.

Доступно по подписке Pro вместе с сотнями CTF-задач и курсами SQL Injection Master и Введение в ИБ.

Как собрать идеальную CTF-команду: опыт, стратегии и важные советы
Мечтаете собрать свою команду для CTF-соревнований, но не знаете, с чего начать? В этой статье мы расскажем, как создать и поддерживать команду, которая будет работать как единое целое и побеждать на крупнейших турнирах. Ожидайте практические рекомендации, основанные на реальном опыте, от формирования состава до роли капитана и распределения задач.

Распределение ролей и подготовка
Важнейшая часть успешной команды — это правильно распределённые роли. Мы разберем, какие специалисты необходимы в команде и как эффективно их подготовить. Для новичков также приведены советы, с чего начинать и как развивать свои навыки для CTF-соревнований.

Регулярные тренировки и подготовка к турнирам
Не стоит ждать подходящего момента, чтобы начать тренироваться. Мы расскажем, как поддерживать командный дух и какие практики помогут вам на пути к победам. В статье также описываются самые эффективные платформы для тренировок и подготовки к реальным CTF-соревнованиям.

CTF для новичков: 5 дружелюбных платформ для старта
Ты готов вступить в мир CTF (Capture The Flag), но не знаешь, с чего начать? В этой статье мы расскажем о 5 платформах, которые идеально подойдут для новичков. Поговорим о самых дружелюбных и доступных ресурсах, где ты можешь начать тренировать свои навыки взлома и защиты.

Что тебе нужно для старта в CTF?
Мы детально разберем 5 платформ - от PicoCTF до Root-Me. Изучим их задачи, интерфейсы, доступность и что важно для комфортного старта. Для тех, кто впервые сталкивается с этим миром, такие платформы становятся тем самым первым шагом в практическое освоение информационной безопасности.

Как выбрать платформу для тренировки?
В статье мы подскажем, на что обратить внимание при выборе своей первой CTF-площадки. Сделаем акцент на доступности, языках интерфейса и особенностях задач, чтобы твое погружение в CTF было максимально комфортным и полезным.

Как писать качественные CTF-Write-Ups для новичков?
Сложно понять, с чего начать, когда решаешь CTF-задачи и сталкиваешься с проблемой документирования решений? В этой статье мы подробно расскажем, зачем писать Write-Ups и как они помогут вам не только укрепить свои знания, но и поделиться ими с сообществом. Пошагово разберём процесс создания качественного отчёта, который будет полезен вам и другим игрокам.

Почему Write-Up — это не просто решение задачи?
Как именно написание CTF-решений помогает в обучении? Вы узнаете, как правильное оформление может раскрыть вашу логику, а также как оно помогает закрепить нестандартные подходы и техники, которые помогут не только вам, но и новичкам.

🖥 Как устроить хороший Write-Up: структура и советы
Мы расскажем, как не просто решить задачу, а описать весь путь, который вы прошли. Как правильно использовать скриншоты и код, чтобы объяснить свою логику? Как добавить альтернативные пути решения задачи и показать глубину понимания проблемы?

Инструменты и оформление: как сделать решение доступным для других
Не менее важен выбор правильных инструментов для оформления и...

Киберколизей IV — международные CTF-соревнования по кибербезопасности!

Старт: 13 декабря в 10:00. Продолжительность 24 часа.

Формат: Jeopardy (Classic) - участвуй в команде до 5 человек.

Призы для команд-победителей:
1 место — 45.000 руб
2 место — 30.000 руб
3 место — 15.000 руб
4-10 места — электронный сертификат участника, подписка Plus на HackerLab

Также первая тройка победителей получит 50% скидку на любой курс Академии Кодебай, месяц подписки PRO на HackerLab, а так же промокоды на скидку в 50% на годовую подписку.

И это еще не всё, будут дополнительные призы от наших партнёров!

Подробности и регистрация команд: https://cybercoliseum.hackerlab.pro/

Нажмите, чтобы раскрыть...

Принять участие могут все желающие, независимо от уровня подготовки. Пригласите друзей и вместе завоюйте победу!