Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Mega Sekurak Hacking party – zapraszamy na edycję grudniową. Zrób sobie (lub znajomym) prezent na Mikołaja (6.12.2021r.)
O dacie „Mikołaja” nie trzeba nikomu przypominać, ale warto przypomnieć o dacie tegorocznej drugiej edycji mega Sekurak Hacking Party. Ponownie spotykamy się na całodniowym wydarzeniu zdalnym.
Z potwierdzonych osób wystąpią: Gynvael Coldwind, Grzegorz Tworek, Michał Bentkowski czy Michał Sajdak.
Uwaga – finalna agenda jest jeszcze w trakcie ustalania – jednak na pewno będzie to cały dzień prezentacji :-) Zdecydowaną większość (jeśli nie wszystkie) prezentacje będziemy nagrywać, a nagrania dostępne będą dla wszystkich uczestników.
Uwaga: jeśli byłaś/byłeś na jednej z poprzednich edycji mega Sekurak Hacking Party – możesz uzyskać jeszcze extra 15% rabatu -> pisz na ca@securitum.pl
Dostępne są jeszcze bilety early birds (pełnoprawne, z niską ceną). Osoby, które zakupią bilet do 24.10.2021r. otrzymają archiwum nagrań czerwcowego mSHP (lista nagrań poniżej).
UWAGA: poniżej to nie agenda na edycję grudniową, a spis nagrań, do których dostaniecie dostęp przy zakupie biletu na zupełnie nowe wydarzenie :)
- Michał Bentkowski – XSS w 2021 roku – czy nadal groźny? (40 minut)
XSS (Cross-Site Scripting) to podatność znana od ponad 20 lat. Istnieją znane sposoby zabezpieczenia się przed nią. W przeglądarkach powstały też mechanizmy chroniące przed XSS-ami, które pozwalają zminimalizować ryzyko podatności; takie jak np. Content Security Policy. Okazuje się jednak, że XSS-ów w dzisiejszych aplikacjach nadal nie brakuje! Dlaczego? Na to pytanie postaramy się odpowiedzieć w tej prezentacji.
- Maciej Szymczak – Hakowanie WPA2-Enteprise, czyli jak dobrać się do sieci korporacyjnych? (30 minut)
Na prelekcji poznasz (i zobaczysz na żywo) skuteczne ataki na sieci bezprzewodowe spotykane w firmach. Pokażę sprawdzony sprzęt i narzędzia, dzięki którym dowiesz się w jak całkowicie zautomatyzowany sposób „przekonać” komputer jak i telefon, żeby przyłączył się do fałszywej sieci.
- Grzegorz Tworek – Monitorowanie systemów Windows (45 minut)
Wbrew powszechnej opinii, systemy Windows bardzo chętnie i bardzo dokładnie „mówią” co się dzieje w ich wnętrzu. Wystarczy chcieć posłuchać. Pewnym wyzwaniem może być w praktyce wybór miejsca, gdzie przyłożyć ucho, ale po intensywnej sesji powinno być jasne, czy wybrać ETW, WPP, IFR czy jeszcze coś innego. Uwaga, sesja może zawierać zauważalne ilości konsoli, PowerShella oraz C.
- Michał Bentkowski – XS-Leaks – sztuka subtelnych wycieków danych (30 minut)
XSS to zdecydowanie najpopularniejsza podatność świata przeglądarek. Wyobraźmy sobie jednak świat, w którym XSS-y zostały zażegnane i zastanówmy się, jakie ataki będą wówczas możliwe. W 2021 i poprzednich latach poczyniono duże postępy w lepszym zrozumieniu ataków XS-Leaks, które pozwalają na wykorzystanie pewnych tzw. bocznych kanałów na wyciąganie danych z innych domen. W prezentacji zostaną pokazane te ataki na żywych przykładach.
- Michał Sajdak – Przegląd stanu bezpieczeństwa API REST w 2021 roku. (40 minut)
W trakcie prezentacji postaram się odpowiedzieć na pytanie: czy API REST można wreszcie uznać za bezpieczne? Jeśli nie, to jak je zabezpieczyć?
Całość na podstawie analizy około 20 przypadków realnych, świeżych podatności w API REST.
- Frederik Braun – Finding & Fixing DOM-based XSS – once and for all? (30 minut)
Cross-Site Scripting (XSS) consistently ranks highest in the list of the most prevalent security problems within web applications. In particular, DOM-based XSS exposes one of the most severe issues facing Single Page Applications and Electron Apps. In this talk we will examine the root causes of DOM-based XSS and provide fundamental insights into using static analysis to detect problematic code at scale. Furthermore, we will share practical tips that will ease adoption of these techniques when dealing with potential false positives or large codebases. We will conclude with an outlook on upcoming web standards which aim to support web developers to tackle DOM-based XSS once and for all.
Frederik Braun to Security Engineer w Mozilli - Marek Rzepecki – Niebezpieczeństwa mechanizmu WebView – jak wykradać dane aplikacji mobilnych? (30 minut)
WebView jest mechanizmem pozwalającym na wyświetlanie stron w ciele natywnych aplikacji mobilnych, bardzo często używanym przez programistów ze względu na jego możliwości i elastyczność. W niniejszej prezentacji na praktycznych przykładach pokazane zostaną błędy często spotkane w jego implementacji- od XSS, kradzież danych z aplikacji, phishing, aż po (w starszych wersjach Androida) RCE.
- Bohdan Widła – Prawne pułapki pentestingu i bug bounty (30 minut)
W trakcie prelekcji spróbujemy odpowiedzieć na kilka pytań, takich jak: Czy uzyskanie dostępu do niezabezpieczonej webaplikacji może być przestępstwem? Czy „nieautoryzowane testy penetracyjne” zawsze są bezprawne? Czy należy przejmować się prawami autorskimi twórcy złośliwego kodu? Czy prawnik może mówić ludzkim głosem?
- Kamil Jarosiński – SSRF w chmurze. Jak niebezpieczny może być? (40 minut)Czy wiesz czym jest podatność SSRF? Dlatego występuje? W jaki sposób jest najczęściej wykorzystywana? Korzystasz ze środowiska uruchomionego w chmurze?Jeśli odpowiedziałeś/odpowiedziałaś chociaż raz twierdząco, to nie możesz przegapić tej prelekcji. Zobacz jak haker może przejąć Twoją infrastrukturę. Odtworzenie realnego scenariusza ataku na żywo. W roli głównej AWS + SSRF + Headless Chromium.
- dr Iwona Polak – Żonglowanie pamięcią podręczną (30 minut)Internet – jak ogry – ma warstwy. Niektóre z tych warstw zapisują raz otrzymane informacje w celu późniejszego wykorzystania. Dzięki temu serwery i łącza są mniej obciążone, a użytkownicy końcowi szybciej otrzymują treści. Czasem otrzymują również dwie bonusowe podatności: oszukanie i zatrucie pamięci podręcznej.
- Krzysztof Bierówka – jak dostać się do danych zabezpieczonych BitLockerem? Zrób sobie aktualizację systemową (15 minut)
Wieczny brak czasu na aktualizacje systemowe? W końcu udało się znaleźć chwilę na ich zainstalowanie, ale nie dokończyłeś całego procesu, bo musiałeś wybiec z biura? Czy twoje dane są bezpieczne? Tego dowiesz się z niniejszej prezentacji. - Krzysztof Wosiński – Nie wszystko co widzisz jest prawdziwe – analiza oznak modyfikacji zdjęć (30 minut)
Rekiny pływające w zalanych centrach handlowych czy pokazy siły bazującej na metodzie kopiuj-wklej – oto metody na dobry click-bait lub phishing. Jak zatem sprawdzić czy obraz, na który patrzymy, nie został zmodyfikowany? Zaprezentuję kilka sposobów na ujawnienie takich działań.