Тут вышла моя статья
Dark patterns в VM - как метрики и дашборды ломают безопасность
https://kraken-academy.ru/articles/40

Разработчик доверял клиенту. Я украл у него всю экономику. Вот как: Реверс-инжиниринг MMO RPG на Android (Часть 2)

Одним из основных векторов атаки на приложение, имеющим большой потенциал, было через функцию создания собственного магазина.
Условие создания собственного магазина: Персонаж должен иметь минимальный уровень 5, у него должно быть не менее 500 золотых.

По задумке разработчика это выглядит так:

Шаг 1: Клиент -> Сервер: «Хочу открыть магазин»
Шаг 2: Сервер -> Клиент: «Проверяю условия: Уровень >=5? Золото >=500?» → Если нет → Ошибка.
Шаг 3: Если да → Сервер списывает 500 золота.
Шаг 4: Сервер -> Клиент: «Магазин открыт. Твое новое золото: [старый_баланс - 500]».

Скомпрометированный сценарий:

Шаг 1: Мы перехватываем ЛЮБОЙ запрос на проверку условий.
Шаг 2: Подменяем ответ сервера с {"level":1,"gold":50} на {"level":5,"gold":500}. # Сервер отправляет клиенту информацию о уровне игрока и количестве его золота.
Шаг 3: Приложение, получив ложное подтверждение, переходит к следующему шагу — отправке запроса на финальное создание магазина. Этот запрос содержит параметр gold: X, где X — это, по идее, оставшийся у клиента баланс ПОСЛЕ списания. # Катастрофическая ошибка, на этом моменте сервер доверяет клиенту
Шаг 4: Сервер ДОВЕРЯЕТ клиенту в этом значении и УСТАНАВЛИВАЕТ баланс игрока равным X, а не ПРОВЕРЯЕТ корректность списания.

Этот сценарий сработал, излишнее доверие к клиенту открыло путь к бесконечному золоту, теперь не надо убивать всю ночь крыс.

А теперь посмотрим, как это происходит на уровне запросов:

1. GET /rest/v1/players?select=level,gold&id=eq.8416f5d0-cf22-45a3-8a6a-cb53bc677e88 # запрашиваем данные игрока
В ответе приходит {"level":1,"gold":50}, нам необходимо перехватить данный ответ и модифицировать его {"level":5,"gold":500} # так мы выполняем условия игры.
2. PATCH /rest/v1/players?id=eq.8416f5d0-cf22-45a3-8a6a-cb53bc677e88 # после того, как мы нажали на кнопку "Open Shop", был отправлен PATCH запрос, который содержал остаток голды игрока
{"gold":0}
3. POST /rest/v1/player_shops?select=* # а после, POST запрос на создание магазина
{"owner_id":"8416f5d0-cf22-45a3-8a6a-cb53bc677e88","shop_name":"EasyShop","is_open":true}

Основным вектором атаки оказался этот запрос "PATCH /rest/v1/players?id=eq.8416f5d0-cf22-45a3-8a6a-cb53bc677e88", модифицируя параметр "gold": X, где X - это количество золота игрока после открытия магазина. Модифицируя этот параметр каждый раз (его можно отправлять множество раз), всегда будет установлено X-gold персонажа на стороне сервера.

Что делать дальше?

1. Как скрипт-кидди: крутануть себе триллион золота и получить пермач и исправление логической уязвимости за 10 минут.
2. Как профессионал: не палить контору, подкручивать себе постепенно, но в пределах разумного, наша задача быть обнаруженным в последний момент.

Переходи в мой ТГ, если нужно больше информации: https://t.me/HackDroid_Lab

Самые внимательные, после прочтения и анализа данного текста, найдут тут уязвимость гораздо более серьезную чем экономическая, эта уязвимость открывает безграничные возможности, но пока без подсказки, тут все очевидно, удалось найти?

Всем привет!
Давно сюда не писал) Для тех кому интересно написал целую отдельную статью на тему почему у нас такие цены - https://kraken-academy.ru/articles/31 поэтому всем кого интересовал вопрос почему у нас дешевле чем у других, рекомендую к прочтению)

Наше соревнование уже стартовало 15 минут назад, если кто не в курсе оно тут - https://kraken-academy.ru/ctf/

Шанс испытать свои навыки и получить 2026 TENT как и говорил ранее, там всего одна задача но она на мой взгляд достаточно интересная и можно даже сказать сложная. Дам подсказку - мы относительно публиковали материал который может помочь разобраться с ней. И да это нормально что картинка не грузится - так и задумано.

Удачи!

Немного оптимизировали платформу, убрали полностью отдельную страницу с достижениями, теперь все они вынесены в профиль, что также дает возможность посмотреть достижения у других пользователей.

Всем привет!
В общем, наконец-то у нас с вами настал декабрь. И в этом году мы уже не планируем крупных обновлений, скорее всего поработаем над визуальной частью.

Говоря о том обновлении что я писал ранее, теперь у нас есть режим Историй - https://kraken-academy.ru/stories/

Возможно кто-то уже видел его в боковом меню) Суть его на самом деле такая - во первых историй 2 типа: 1 - это просто истории с сюжетом, они позволят вам больше познакомиться с ЛОРом академии, понять что от чего берется и почему это так, второй же тип это учебный - он уже будет связан с каким-то путем обучения или же навыком. Суть его простая - провести вас из точки А в точку Б, то есть по всем модулям в нужном порядке до сертификации. Естественно все это с определенным сюжетом, чтобы вам не было скучно. Поэтому как мне кажется - этот режим зайдет новичкам, потому что для них это достаточно понятный механизм. Все это естественно по вашему желанию - мы не обязываем никого проходить путь в режиме "Истории", можно как и раньше просто передвигаться по модулям в том порядке в котором вам хочется - как и было раньше.

И следующее про что стоит сказать, это то что мы сделали теперь режим CTF, ближайший запланирован уже на эту неделю, а если быть точнее то 6 декабря в 12 дня он стартует, посмотреть можно тут - https://kraken-academy.ru/ctf/

Мы также свои CTF не будем делать в типичном виде по типу - вот тебе машины иди их ломай, это уже давно как мне кажется никому не интересно, у нас в них тоже будет свой сюжет определенный. В нашем первом CTF будет всего одна задача, но она потребует достаточно специфичных навыков для ее решения, поэтому мы заложили окончание CTF в 20:00 по Москве. Будет естественно и таблица лидеров, итоги мы подведем в канале. Если говорить о призах - то сразу после успешного решения вы получите на баланс +2000 TENT, (скорее всего 2026 в честь нового года), не нужно никого ждать: решили, получили награду. Поэтому думаю вам понравится.

В дальнейшем естественно CTF мероприятия будут сложней, со стендами (если они там нужны) и прочим, однако вот этот типичный подход просто с набором заданий - использовать у себя мы не будем. Каждый такой CTF как на мой взгляд, должен ассоциироваться с приключением и я бы даже сказать сравним с соревнованием в онлайн играх. В нашем случае это будет работать как и говорил ранее так - в рамках наших CTF есть определенный сюжет, участники двигаются по сюжету выполняя задачи и получая очки у кого больше всего очков и он завершил раньше всех весь так скажем эвент - тот и лучше. Например вы учувствуете с другом в одном и том же CTF и решили с ним одинаковое количество заданий - первее в таблице лидеров будет тот - кто раньше завершил весь CTF, поэтому в конце не забывайте жать кнопку - Завершить)

Также мы восстановили youtube канал, для тех кто любит смотреть ну или слушать подкасты именно там, поэтому можно переходить туда - https://www.youtube.com/@kraken_cybersecurity сейчас будем выпускать по 1 выпуску в неделю, в ютубе выпуски будут появляться раньше чем в Яндекс музыке - не потому что мы вредные, а потому что Яндекс-музыка так работает, поэтому если хотите слушать сразу после выпуска рекомендую подписаться)

Пока без спойлеров, но если вам нравится геймофикация в обучении - то следующее обновление вам зайдет это 1000%)

Всем привет!
Делаем как всегда очередное обновление на платформе, о нем естественно расскажу после его выпуска так сказать в мир) Но я думаю оно вам конечно же зайдет как обычно.

Также делаю небольшой анонс на 1 декабря у нас планируется небольшой CTF так что имейте ввиду)

Релизнули новый крутой модуль по Nmap - https://kraken-academy.ru/module/98
Хочу обратить ваше внимание что это первый модуль который входит в 2 пути сразу, он является частью пути CWPS и будущего пути SOC аналитика. Также если не знакомы с нашим модулем по OSINT - https://kraken-academy.ru/module/52 то рекомендую с ним тоже познакомиться, так как эти модули прекрасно дополняют друг друга.

Также не пугайтесь что упал процент прохождения CWPS, это потому что теперь в нем новый модуль.
Ну и всем хорошего вечера)

Важное объявление: по крайней мере для тех кто сидит онлайн в академии регулярно)
Уже прямо сейчас в академии скидки на все модули (да вы не ослышались - на все) это приурочено к 11.11, поэтому если давно хотели что-то купить или купить весь путь целиком - это хороший вариант, некоторые модули со скидкой до 50%. Надеюсь вам зайдет) Сама страница модулей - https://kraken-academy.ru/modules/

Также не забывайте что у нас можно оплачивать с помощью Яндекс Сплита и других рассрочек, практически любые суммы, наши студенты активно этим пользуются как выяснилось, поэтому не стесняйтесь, это можно сделать прямо при непосредственной оплате.

Также вышел новый модуль по Python, который я анонсировал ранее - https://kraken-academy.ru/module/96 и да он тоже со скидкой)

Ну а на этом желаю всем хорошего вечера, приятного обучения и покупок)

Напоминаю что у нас работает форматирование Markdown варианта для стены, а если точнее:
Используйте двойную звездочку (астериск) для жирного текста - Вот такого
Для курсива достаточно взять слово в одиночный астериск - Вот так
Для кода в кавычки - и будет вот так
Кавычка имеется вот такая ввиду - `

Всем привет! =)
Давно не писал, потому как плотно работаем над оптимизацией и новыми модулями. Из последнего я думаю стоит сказать о том что по запросу отдельных пользователей, мы подняли лимит на количество символов в постах на "стене", раньше он был всего 360 символов, сейчас он значительно вырос и стал 16000 символов. Лично на мой взгляд вполне резонная просьба, так как пользователи хотят писать гайды и прочее, не создавая статей. Такую активность мы всегда поощряем) Поэтому лимиты уже подняты, можно пользоваться. Также подняли лимиты для комментариев, он теперь - 4096 символа. Поэтому можно написать свое мнение по каждому вопросу более подробно.

Этот функционал еще на этапе развития, в скором времени в постах добавится предпросмотр ссылок, возможность добавить изображения и прочий функционал к которому вы так привыкли. Также в будущем как мне кажется возможность написать длинный пост на стене позволит например давать объявления о наборе в команду или на работу куда-то, поэтому это на первый взгляд не значительное изменение может оказаться чем-то большим.

Кстати говоря о командах - у нас сейчас в работе функционал по созданию собственных команд. То есть у каждого будет возможность создать свою команду, сделать ее доступной для всех или же пригласить в нее только своих друзей. У каждой такой команды будет свой рейтинг, он будет учитываться из множества факторов, но на самом деле по большей части из тех параметров к которым вы уже привыкли. Как только будет готово - сразу же конечно об этом сообщу.

Также заранее спойлер - в ближайших числах будет большая распродажа модулей, поэтому не упустите эту возможность, так как после этого мы поднимем цену на большинство модулей на платформе. Так что если у вас есть друг который давно хотел начать или знакомый, то рекомендуйте ему это сделать сейчас, чтобы успеть до поднятия цен.

Также по запросу пользователей добавили реф.ссылку на страницу покупки TENT, надеемся что так станет удобнее ей пользоваться. Ну а на этом пока у меня все, в ближайшее время вплотную займемся модулями "синего" пути, чтобы у нас было уже три полноценных сертификации.

На самом деле это еще не все, там еще будет ряд некоторых небольших изменений, но о них я расскажу немного позже. Кстати чуть не забыл - статус теперь не просто показывает онлайн пользователь или нет. Если пользователь ничего не делает там будет - Прогуливается по академии. В случае если он что то изучает - будет указан модуль и урок где он находится.

В добавку к предыдущему посту - поэтому вся ваша статистика, опыт, зарплатные ожидания и так далее, видно всем) Это как мне кажется позволяет просто прикреплять или давать ссылку на ваш профиль в резюме и других местах. Поэтому делитесь своим профилем, пишите статьи, сделаем самое крутое сообщество в области кибербезопасности - вместе.

Всем привет!
Как я думаю многие могли заметить, есть уже очевидные изменения во внешнем виде академии и не только. В первую очередь хочу сказать что теперь все профили (если у вас конечно он не приватный) доступны и без авторизации, то есть его может посмотреть любой пользователь из интернета, даже если он у нас не зарегистрирован.

Уф, пришлось даже подзадержать обновление, но оно того стоит) Завтра наконец-то я надеюсь выкатим его, в нем будет ряд важных изменений, в частности профили будут доступны наружу, ваши статьи также, избранные модули и отзывы, об остальных изменениях расскажу сразу после релиза.

Сегодня добавим возможность просмотра отзывов и статей каждого пользователя, аналогично тому как мы добавили возможность просмотра избранных модулей. Когда будет готово сразу же об этом тут сообщу)

Также вчера был вопрос от студента по "стрикам", для того чтобы не потерять его - нужно заходить каждый день и получать награду, это можно сделать нажав большую кнопку под своим аватаром в сайдбаре) В противном случае - счетчик будет обнулен. Через 30 дней активности вы начнете получать по +3 TENT в день, через 60 - +5 TENT.

На будущей неделе, профили, статьи и прочая статистика будут доступны снаружи. Мы ожидаем что это конечно же начнет привлекать HR-ов к найму, поэтому всем рекомендую привести свой профиль в порядок, если вдруг планируете делать так скажем свой личный бренд.

Кстати тоже думаю будет важно и интересно, ввели новый функционал тематических бандлов их каждый собирают вручную, переодически они будут появляться, так что вам стоит проверять их раздел, во первых как правило они будут со скидкой и скорее всего большой, во вторых это достаточно удобно. Сам раздел с бандлами - https://kraken-academy.ru/bundles/