HackerFest 2015 - Workshop 30.9. vyprodán!

Z důvodu vysokého zájmu o workshop pod vedením Romana Kümmela, Penetrační testování webových aplikací podle OWASP, jsme pro vás vypsali další termín na 1. října 2015.



V rámci workshopu budou probrána především tato témata:
» seznámení se s nejdůležitějšími dokumenty z dílny OWASP
» definování vhodného testovacího postupu
» průběh testu a manuální vyhledávání zranitelností
» klasifikaci nalezených zranitelností a vypracování závěrečné zprávy

Roman Kümmel Vás na HackerFestu seznámí s SQL injection, jak ji možná neznáte.
SQL injekce útočníkům často otevírá cestu k plnému ovládnutí webové aplikace, v tom horším případě pak rovnou k ovládnutí celého webového serveru. Výskyt této zranitelnosti lze tedy bezpochyby považovat za velice vážné bezpečnostní riziko, které nemá ve webové aplikaci co pohledávat.

Je až s podivem, že tento bezpečnostní prohlém obsahuje stále téměř 20 procent webových aplikací, a útočníci skrze něj mohou odsávat důvěrná data a kompromitovat systémy po celém světě. Ne vždy je ale nalezení SQL injection zranitelnosti pro útočníka snadné a její zneužití přímočaré. Někdy sice aplikace po správně zmanipulovaném dotazu předloží útočníkovi obsah své databáze na stříbrném podnosu, ale jindy (v případě blind SQL injection) útočníkovi pouze zakývá nebo zavrtí hlavou, a i to lze považovat za poměrně velkou výřečnost.

Útočníci často narazí také na aplikaci, která na zmanipulované dotazy pouze mlčí a pak je pro útočníka otázkou, jak dlouho. I tato aplikace ovšem nevydrží mlčet donekonečna a při nasazení vhodného typu mučení, které zabrnká na strunu obsažené Time based SQL injekce, se i tato aplikace časem rozpovídá a útočník se tak dozví vše, co potřeboval vědět. Méně sdílné aplikace je totiž možné často rozpovídat, pokud jim navrhneme jiný komunikační kanál, například filesystem, nebo DNS requesty. O těchto více či méně známých možnostech útoků na SQL přijde na Hackerfest pohovořit náš specialista na zranitelnosti webových aplikací, Roman Kümmel.

Registrace na konferenci HackerFest 2015 + Workshop s Romanem Kümmelem

registrace_button_gopas_pocitacova_skola_125.png


Zajímáte se o bezpečnost firemní infrastruktury na Windows? Patříte mezi síťové administrátory, bezpečnostní specialisty či IT profesionály, pro které je IT bezpečnost prioritou?
Pak právě Vám je určen seminář Hacking and Hardening Windows Infrastructure bezpečnostní expertky a penetrační testerky, Pauly Januszkiewicz.

SEMINÁŘ JE VYPRODÁN

Seminář bude probíhat již 30. 9. 2015 a jeho obsahem je:
»  Information gathering about the target (detecting unnecessary services, practical walkthrough through tools, using tools against scenarios)
»  Password management – prevention and scale of operation (performing PTH attack and implementing prevention, performing the LSA Secrets dump and implementing prevention, DPAPI Analysis – usage of the Cached Credentials, implementing prevention for PTH attack and password management)
» Physical Access (misusing USB and other ports, offline Access techniques)
»  Malformed Communication (communicating through firewalls, misusing Remote Access, DNS based attacks, detecting unsafe servers, hacking HTTPS, distributed Denial of Service attacks vs. scaling the server)
»  Malware under the hood (techniques used by modern malware, advanced Persistent Threats, fooling common protection mechanisms, ransomware analysis)
»  Data in-Security (file format attacks for Microsoft Office, PDF and other file types , using incorrect file servers’ configuration, basic SQL Server attacks, analyzing the disk drive and memory)

SEMINÁŘ JE VYPRODÁN
 
Aktualizováno: 25.08.2015
Publikováno: 12.08.2015