Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Uwierzytelnianie/autoryzacja – co może pójść nie tak? Jak temu zapobiec?

12 lipca 2021, 23:06 | Aktualności | 0 komentarzy

Zapraszamy na nasze unikalne szkolenie dotyczące właśnie problemów z uwierzytelnianiem oraz autoryzacją. W trakcie całości zobaczycie przeszło 50 realnych przykładów luk bezpieczeństwa występujących w tych mechanizmach. Będzie o: resetowaniu hasła, technikach brute force, oczywistych (albo i nie ;) metodach całkowitego ominięcia uwierzytelniania czy aspektach związanych z 2FA. Nie zabraknie też takich tematów jak problematyka bezpieczeństwa OAuth 2.0 czy JWT (JSON Web Token).

Szkolenie przeznaczone jest dla programistów/testerów/pentesterów/fascynatów bezpieczeństwa. Na pewno skorzystają również administratorzy, jeśli na ich serwerach znajdują się aplikacje webowe…

Szkolenie odbywa się on-line 21.07.2021 (start: 13:00). Jeśli nie zdążysz – przez miesiąc po szkoleniu dostępny będzie również film.

Zapisując się z kodem last-minute-auth możecie uzyskać -20% od ceny standard.

Szkolenie prowadzi Michał Sajdak, założyciel sekuraka.

Agenda:

Podstawowe definicje

  • Uwierzytelnianie/autoryzacja – na jakie problemy możemy się natknąć? Najlepiej uczyć się na (cudzych) błędach – zaczynamy zatem od kilku prostych, realnych przykładów podatności z polskiego oraz światowego podwórka. W trakcie ich prezentowania wprowadzimy definicję uwierzytelnienia oraz autoryzacji.

A może da się prościej? Zupełny brak uwierzytelniania / autoryzacji.

  • Prezentacja kolejnych realnych przykładów z życia wziętych. 
  • Nietypowe techniki omijania uwierzytelnienia.

Jak działa 2FA (dwuczynnikowe uwierzytelnienie) oraz przed czym chroni?

  • Czy da się ominąć 2FA? (SMSy, Klucze sprzętowe, …)

Techniki bruteforce w służbie… omijania uwierzytelnienia / autoryzacji. Jak temu zapobiec?

  • Kiedy identyfikatory nie są losowe…
  • Jak brak ograniczenia na liczbę żądań może doprowadzić do katastrofy

Problemy z resetem hasła

  • Jak można było w banalny sposób zresetować hasło dowolnemu użytkownikowi w pewnej znanej aplikacji? 
  • Jak otrzymać email z resetem hasła ofiary?
  • Jak temu wszystkiemu zapobiec?

Jak bezpiecznie przechowywać hasła w bazie danych?

  • Które algorytmy najbardziej opierają się łamaniu? (pokazy na żywo)
  • Co daje, a czego nie daje sól?

Problemy bezpieczeństwa JWT (JSON Web Token) oraz jak im zapobiec?

  • Niepoprawny dobór algorytmów kryptograficznych
  • Problemy bezpieczeństwa w bibliotekach

Problemy bezpieczeństwa OAuth 2.0 oraz jak im zapobiec?

  • Łagodny wstęp do OAuth 2.0
  • Przegląd kilku ciekawych / częstych podatności w implementacji / konfiguracji OAuth 2.0
  • Unikanie problemów bezpieczeństwa

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz