Sto cercando risorse e informazioni da persone che hanno esperienza nell'affrontare sfide di cattura-the-flag.
Sommare tutto in una semplice domanda a una frase: Come si imposta un server in modo tale da permetterlo di essere hackerato attraverso una vulnerabilità molto specifica mentre (a) non si espone te stesso e gli altri a rischio indebito e (b) impedire a un partecipante di rovinare l'esperienza per gli altri.
Questo condivide molto in comune con l'esecuzione di un honeypot, ma una grande differenza è l'attenzione al mantenimento di un'esperienza coerente per tutti i visitatori, in modo che un visitatore non "lo rovini" per gli altri.
Come sfondo, questo non è impostato come una competizione, ma piuttosto come un modo per insegnare ai programmatori il pericolo e la natura delle cattive pratiche di codifica mostrando loro come vengono sfruttati. I server rimarranno quindi accessibili a tempo indeterminato anziché semplicemente durante una competizione.
Come antipasto: il nostro progetto esistente è costituito da macchine Linux minimaliste ridotte che funzionano come macchine virtuali sotto KVM, tutte le memorie persistenti montate in sola lettura e tutte le modifiche di FS persistono solo sulla RAM. I server si riavviano periodicamente, cancellando tutte le possibili modifiche e ricominciando da capo. Nessuna connessione di rete è consentita in entrata o in uscita a meno che non sia necessario per l'exploit in questione.