Sekurak Hacking Party Warszawa – zapisy start

Kolejne sekurak hacking party zaplanowaliśmy w Warszawie. Zapisy tutaj. (Pamiętajcie, że na info o kolejnych edycjach – różne miasta – możecie się zapisać w boksie po prawej stronie).

Termin: 29.11.2018 r.
Miejsce: Warszawa, Polsko-Japońska Akademia Technik Komputerowych, ul. Koszykowa 86, Duża Aula
Rozpoczęcie: 18:30 (można być już 18:00). Zakończenie: 20:30.

Agenda:

1. Jak przejąć kontrolę nad serwerem – czyli 7 sposobów na zdalne
wykonanie kodu (50 minut). Michał Bentkowski.

Opis: Remote Code Execution (RCE) to jedna z najpoważniejszych podatności, jaka może nam się przytrafić w aplikacjach webowych. Pozwala nam bowiem przejąć pełną kontrolę nad serwerem. Podczas prezentacji poznamy siedem sposobów na to, by RCE na serwerze wykonać. Zaczynając od najbardziej znanych i oczywistych (jak upload pliku PHP na serwer), a kończąc na ciekawszych, takich jak: wstrzyknięcia szablonów, rozpakowywanie plików ZIP czy przetwarzanie formatu JSON.

2. Dlaczego należy przejmować się XSS-ami? (50 minut). Michał Bentkowski.

Opis: W prezentacji rozszerzony zostanie temat skutków XSS-ów, ktory omawiałem na poprzednich Hacking Party. Przypomnimy sobie, że za pomocą XSS-ów możemy wykonywać dowolne operacje w kontekście zalogowanego użytkownika czy też wykradać jego dane, ale dodatkowo dowiemy się m.in.

– W jaki sposób szukać XSS-ów „w ciemno”
– W jaki sposób można „routować” ruch przez przeglądarkę użytkownika używając techniki znanej jako XSS proxy,
– Jak można wykorzystać XSS-y do skanowania portów i do dalszej exploitacji sieci lokalnej ofiary.

3. Cisco ASA i podatność CVE-2018-0296 – ominięcie
uwierzytelnienia (5 minut). Michał Bentkowski.

Opis: relacja z pierwszej ręki podatności, którą odkrył Michał Bentkowski. Ominięcie uwierzytelnienia / DoS. Score CVSS oznaczony przez Cisco: Base 8.6/10.

–ms