CMD+CTRL 黑客松培训

◇ 与Hackathon培训一起将安全作为首要原则

计划一场Hackathon培训课程，让您的团队能够直观地了解如何侵入您的软件，或保护您的IT系统。

有充分的证据证明安全是一种人员问题，然而，让团队对技能提升保持热情是一项具有挑战性的任务。传统培训对于核心技能发展非常有效，而Hackathon能激发学习兴趣，带来即时的满足感，以及“实践中学习”的长期益处。

我们的Hackathon是互动式学习活动，IT与开发人员在商业应用程序中比赛查找漏洞，或实时防护IT基础设施。参与学员可以立即沉浸在一个锻炼反应能力、创造性与适应性的现实环境中，来学习攻击与防御。

◇ Hackathon培训的特点与优势

● 参与性 – 真实的功能、漏洞、攻击与技术将参与学员从被动玩家转化为主动的黑客与防御人员。

● 团建 – 友善的设置鼓励合作，提高沟通技能，并建立成员对保护企业的荣誉感。

● 适合所有技术水平 – 快速入门指南，提示，以及不同难易程度的挑战确保每个人都可以参与其中。

● 实时&赛后反馈 – 现场积分版鼓励友好竞争，而赛后报告帮助识别技术差距，并随时间推移不断衡量进步。

● 灵活 – 可以选择拥有我们的安全工程师在场来提供专业指导，或与您的员工一起主持活动。

CMD + CTRL应用安全Hackathon

有趣的“查找漏洞”游戏，来帮助了解安全编码的重要性

以一种全新的方式来测试您团队的技术，让他们以自己的方式来利用现今危害应用程序的数百种漏洞发动攻击。在这个游戏场景中，参与学员的任务是挖掘他们内心的黑客心理，针对真实的web与移动应用来学习并应用创造性的攻击，这些包括：

● Shadow Bank: 银行网站

● Gold Standard Bank: 高级银行网站

● Shred Retail: 电子商务网站

● Account All: HR网站

● InstaFriends: 社交媒体网站

● Runstoppable: Android移动健身应用程序

应用安全Hackathon特点与优势

• 互动性与参与性

    ● 在现实设置中利用已验证的夺旗（CTF）技术

    ● 功能齐全的应用程序允许用户利用他们经常构建与使用的特性，例如加入购物车，进行购买，转账，申请贷款，提交考勤表，以及跟踪健身事宜等等。

    ● 聪明的弹出信息，幽默的声音，以及遍布网站的“复活节彩蛋”使得攻击更加有趣

    ● 实时评分促进了有好竞争，提高了积极性

• 全面的漏洞网站知识库

    ● 包含300+漏洞，涵盖20种漏洞类型，包括OWASP十大漏洞与CWE 25大漏洞。

    ● 每个挑战基于其复杂性拥有一个分值，挑战的难易程度从常见漏洞，例如SQL注入（SQLi），到高级密码分析与密码破解测试。

    ● 漏洞以各种形式出现，正如其在现实商业应用程序中出现一样。

• 适合多种技术水平

    ● 有问题吗？专家可随时提供帮助

    ● 需要克服困难的挑战？拿起一份备忘单或使用您的点数来购买提示

    ● 想要最高得分？组队来发动大规模攻击

使用赛后报告来识别技术差距

◇ Hackathon 交付选项

● Security Innovation员工主持活动 – 这些活动使用Security Innovation的专家来处理安装设置，指导参与学员发现漏洞，并提供现场培训。其通常是1到2天的活动，并且可以定制为包含赛前培训，休息活动，以及最后的披露环节。

● 客户员工主持活动 – 对于想要自己主持的组织，我们将提供漏洞建议表，攻击表，行政管理指导，以及培训会话，来帮助您的专家为活动做准备。客户自己处理注册、设置、部署，以及整场活动。

● 独立的训练场 – 对于拥有分散式团队，或更希望利用CMD+CTRL来推动持续技能发展的组织，我们的SaaS版本还可以提供一定时间内对我们网站的远程访问。

IT 基础设置Hackathon

◇ 指导IT基础设置Hackathon实时服务、信息流、利用与攻击。

这种快节奏的游戏风格活动对IT与运营员工进行测试，让他们保护相互联系的网络，防止持续进行的一波又一波的攻击。团队通过执行包与日志分析来检测攻击，然后进行系统强化来阻止他们的攻击，从而练习态势感知。

优势

● 培养团队精神与保护企业的荣誉感

● 评估在不影响正常操作的情况下处理现实世界中意外响应的能力

● 活动前后的现场培训；贯穿始终的中断讲解

概述

每个团队(蓝队)得到一个他们需要保护的相同的网络防火墙、服务器与服务。Security Innovation工程师（红队）进行持续的自动攻击，蓝队成员分析攻击流与服务，从而了解他们是如何被攻击的，并保持其系统运行。通过确保每个服务运行并对请求进行响应来获得积分。当服务不可用或攻击成功时，会减分。

攻击

红队在相同的时间使用相同的攻击来攻击每个蓝队成员：

● 数据库

● 邮箱服务器

● 活动目录

● 访问控制

● 自定义服务

● 域名系统（DNS）

● Web服务器与应用程序

● 其他更多!

活动与Wave

所有网络流都可被捕获，并且在每波攻击后提供给团队，使得每个团队都能够审查数据包捕获（PCAP），从而更好地分析并了解他们是如何被攻击的。为了确保PCAP文件更真实，许多自动化用户像正常操作用户一样来使用服务。

计分

虽然对于团队来说分类攻击来优化其分数是非常重要的，但是在保持网络服务与资产可用性的同时修复问题也至关重要。计分服务器上的一个服务验证器自动向每个服务发送请求。如果此服务正常响应，就会获得相应积分。如果服务没有响应，就无法积分。如果一个服务被攻击者成功利用，那么会减去相应积分。

技术

示例服务与漏洞：

● FTP - Download All, unauthenticated

● FTP – ShellShock

● GitLab - Open Redis Exploitation

● GitLab - Web App Available to the internet

● GitLab – Web APP

● GitLab - SSH tunnel Exploitation

● GitLab - Password Brute Force

● GitLab - Authentication Web Service

● HTTP - Slowloris Attack

● HTTP – GET Method Exploitation

● LDAP - Check Connection

● SMTP - Open Relay

● SAMBA share - List Open Share

● Tomcat - Bruteforce

● Web - Wordpress Server Side Includes

● WebDav - Upload/Download Content

● HTTP IIS - MS 15034 Exploitation

玩家需要熟悉操作系统配置（Windows与Linux）、命令行公用程序、网络连接、防火墙与访问控制。玩家需要能够读取与分析日志文件，修改配置，探索网络数据包捕获。尽管挑战会向玩家展示应用程序与源代码，但是无需编程经验。

Datasheet Download