Версия 2.6, февраль 2025

Что улучшили

1. Добавили интеграцию с продуктом Start CTF. При получении доступа к продукту Start CTF, внутри Start EDU появится новый раздел CTF. В нем содержится две вкладки:

Рейтинг

Здесь пользователю с любой ролью доступны ссылки:

• на уязвимое приложение,
• на административную часть, куда необходимо вносить флаги,
• на запись вебинара для разработчиков.

Также здесь отображается рейтинг пользователей.

Статистика

Здесь отображается следующая информация:

• дате начала соревнования и количество зарегистрированных пользователей,
• название и количество ответов задания, которое решают чаще всего,
• название и количество ответов задания, которое решают реже всего,
• распределение пользователей по количеству набранных баллов,
• соотношение ответов: сколько раз участники ввели неверный флаг, а сколько корректный,
• соотношение корректных ответов по темам: тут можно увидеть, какие темы проседают.

2. Добавили арифметическое округление полученных баллов за квиз в выгрузке отчета на странице «Аналитика». Теперь отображение единообразно для пользователей и администраторов.

3. Измененили логику сохранения рекомендованных юнитов в настройках проектных ролей. Теперь кнопка «Сохранить» появляется после загрузки юнитов, что дает возможность не сохранять роль без рекомендаций.

4. Оптимизировали работу страницы «Аналитика». Теперь загрузка занимает не более 3 секунд при 8000 пользователей.

Какой контент обновили

В предыдущей версии

1. Добавили новые юниты с квизом:

• Unit 23. SSTI,
• Unit 24. Авторизация.

2. Добавили новую памятку — «Разграничения доступа».

3. Улучшили структуру, обновили примеры и описание в Unit 19. SSRF.

4. Добавили квиз и улучшили оформление в Unit 20. Интеграционное взаимодействие.

5. Добавили новые иллюстрации в Unit 14. Аутентификация.

Изменения по C#

1. Добавили примеры кода в теорию:

• Unit 5. Обработка входных данных,
• Unit 13. Remote command execution,
• Unit 14. Аутентификация,
• Unit 15. Десериализация,
• Unit 19 SSRF,
• Памятки «Валидация данных»,
• Памятки «Безопасность Cookie»,
• Памятки «SSRF».

2. Добавили примеры кода в квиз:

• Unit 1. Защита от подделки межсайтовых запросов (CSRF),
• Unit 4. Защита от атак на XML-парсеры (защита от XXE),
• Unit 15. Десериализация.

3. Добавили практические задания:

• Unit 9. Работа с секретами (пароли, ключи, токены),
• Unit 10. Изменение значения переменной пути,
• Unit 13. Remote command execution,
• Unit 14. Аутентификация.
  
  

Изменения по GO

1. Добавили примеры кода в теорию:

• Unit 1. Защита от подделки межсайтовых запросов (CSRF),
• Unit 10. Изменение значения переменной пути,
• Unit 13. Remote command execution,
• Unit 14. Аутентификация,
• Unit 16. Многофакторная аутентификация,
• Unit 19. SSRF,
• Памятки «SSRF»,
• Памятки «Безопасность Cookie».

2. Добавили практические задания в Unit 10. Изменение значения переменной пути.

Изменения по JS

1. Добавили примеры кода в теорию памятки «Безопасность Cookie».

2. Добавили примеры кода в квиз Unit 4. Защита от атак на XML-парсеры (защита от XXE).

3. Добавили практические задания:

• Unit 13. Remote command execution,
• Unit 14. Аутентификация.
  
  

Изменения по Java

1. Добавили примеры кода в теорию Unit 10. Изменение значения переменной пути.

2. Добавили примеры кода в квиз:

• Unit 1. Защита от подделки межсайтовых запросов (CSRF),
• Unit 10. Изменение значения переменной пути.

3. Добавили практические задания:

• Unit 7. Кодирование и экранирование при работе с браузерами,
• Unit 10. Изменение значения переменной пути.
  
  

Изменения по PHP

1. Добавили примеры кода в теорию:

• Unit 9. Работа с секретами (пароли, ключи, токены),
• Unit 14. Аутентификация,
• Памятки «Безопасность Cookie».

2. Добавили примеры кода в квиз:

• Unit 4. Защита от атак на XML-парсеры (защита от XXE),
• Unit 10. Изменение значения переменной пути,
• Unit 14. Аутентификация,
• Unit 15. Десериализация.

3. Добавили практические задания:

• Unit 10. Изменение значения переменной пути,
• Unit 13. Remote command execution.
  
  

Изменения по Python

1. Добавили примеры кода в теорию памятки «Безопасность Cookie».

2. Добавили практические задания:

• Unit 13. Remote command execution,
• Unit 14. Аутентификация.
  
  

В этой версии

1. Добавили новые юниты:

• Unit 27. Хранение данных на устройстве,
• Unit 29. Типовые правила и ошибки конфигурации инфраструктуры (с квизом),
• Unit 31. SSL-pinning (с квизом).

2. Добавили новую памятку — Защита от SQL-инъекций в хранимых процедурах и скриптах.

3. Обновили Unit 23. SSTI.

4. Добавили схемы в Unit 14. Аутентификация.

5. Добавили иллюстрации в Unit 15. Десериализация.

Изменения по C#

1. Добавили примеры кода в теорию:

• Unit 2. Зависимости,
• Unit 10. Изменение значения переменной пути,
• Unit 16. Многофакторная аутентификация.

2. Добавили примеры кода в квиз:

• Unit 10. Изменение значения переменной пути,
• Unit 14. Аутентификация.

3. Добавили практические задания:

• Unit 9. Работа с секретами (пароли, ключи, токены),
• Unit 16. Многофакторная аутентификация.
  
  

Изменения по GO

1. Добавили практические задания:

• Unit 8. Insecure Direct Object Reference,
• Unit 9. Работа с секретами (пароли, ключи, токены),
• Unit 13. Remote command execution,
• Unit 16. Многофакторная аутентификация.

2. Добавили примеры кода в квиз:

• Unit 8. Insecure Direct Object Reference,
• Unit 14. Аутентификация.
  
  

Изменения по Java

1. Добавили примеры кода в теорию:

• Unit 2. Зависимости,
• Unit 14. Аутентификация.

2. Добавили примеры кода в квиз:

• Unit 3. Работа с Cookie и HTTP-заголовками,
• Unit 4. Защита от атак на XML-парсеры (защита от XXE),
• Unit 14. Аутентификация.

3. Добавили практические задания в Unit 4. Защита от атак на XML-парсеры (защита от XXE).

Изменения по PHP

1. Добавили примеры кода в теорию в Unit 16. Многофакторная аутентификация.

2. Добавили примеры кода в квиз:

• Unit 1. Защита от подделки межсайтовых запросов (CSRF),
• Unit 7. Кодирование и экранирование при работе с браузерами (XSS).

3. Добавили практические задания:

• Unit 14. Аутентификация,
• Unit 16. Многофакторная аутентификация.