Workshop 1.10. VYPRODÁN! Vyhlašujeme POSLEDNÍ termín!

Z důvodu vysokého zájmu o workshop pod vedením Romana Kümmela, Penetrační testování webových aplikací podle OWASP, jsme pro vás vypsali další, JIŽ 3. termín na 2. října 2015. Registrujte se co nejdříve!



V rámci workshopu budou probrána především tato témata:

» seznámení se s nejdůležitějšími dokumenty z dílny OWASP
» definování vhodného testovacího postupu
» průběh testu a manuální vyhledávání zranitelností
» klasifikaci nalezených zranitelností a vypracování závěrečné zprávy

Roman Kümmel Vás na HackerFestu seznámí s SQL injection, jak ji možná neznáte. SQL injekce útočníkům často otevírá cestu k plnému ovládnutí webové aplikace, v tom horším případě pak rovnou k ovládnutí celého webového serveru. Výskyt této zranitelnosti lze tedy bezpochyby považovat za velice vážné bezpečnostní riziko, které nemá ve webové aplikaci co pohledávat.

Je až s podivem, že tento bezpečnostní prohlém obsahuje stále téměř 20 procent webových aplikací, a útočníci skrze něj mohou odsávat důvěrná data a kompromitovat systémy po celém světě. Ne vždy je ale nalezení SQL injection zranitelnosti pro útočníka snadné a její zneužití přímočaré. Někdy sice aplikace po správně zmanipulovaném dotazu předloží útočníkovi obsah své databáze na stříbrném podnosu, ale jindy (v případě blind SQL injection) útočníkovi pouze zakývá nebo zavrtí hlavou, a i to lze považovat za poměrně velkou výřečnost.

Útočníci často narazí také na aplikaci, která na zmanipulované dotazy pouze mlčí a pak je pro útočníka otázkou, jak dlouho. I tato aplikace ovšem nevydrží mlčet donekonečna a při nasazení vhodného typu mučení, které zabrnká na strunu obsažené Time based SQL injekce, se i tato aplikace časem rozpovídá a útočník se tak dozví vše, co potřeboval vědět. Méně sdílné aplikace je totiž možné často rozpovídat, pokud jim navrhneme jiný komunikační kanál, například filesystem, nebo DNS requesty. O těchto více či méně známých možnostech útoků na SQL přijde na Hackerfest pohovořit náš specialista na zranitelnosti webových aplikací, Roman Kümmel.

Registrace na konferenci HackerFest 2015 + Workshop s Romanem Kümmelem


GOPAS_CZ---HF_2015_Novinka_481x250_04_edit.jpg

Aktualizováno: 02.09.2015
Publikováno: 25.08.2015