Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Adminie… Czy znamy Twoje grzechy? ;-) Sprawdź!
Uwierzytelnianie/autoryzacja – co może pójść nie tak? Jak temu zapobiec?
Zapraszamy na nasze unikalne szkolenie dotyczące właśnie problemów z uwierzytelnianiem oraz autoryzacją. W trakcie całości zobaczycie przeszło 50 realnych przykładów luk bezpieczeństwa występujących w tych mechanizmach. Będzie o: resetowaniu hasła, technikach brute force, oczywistych (albo i nie ;) metodach całkowitego ominięcia uwierzytelniania czy aspektach związanych z 2FA. Nie zabraknie też takich tematów jak problematyka bezpieczeństwa OAuth 2.0 czy JWT (JSON Web Token).
Szkolenie przeznaczone jest dla programistów/testerów/pentesterów/fascynatów bezpieczeństwa. Na pewno skorzystają również administratorzy, jeśli na ich serwerach znajdują się aplikacje webowe…
Szkolenie odbywa się on-line 21.07.2021 (start: 13:00). Jeśli nie zdążysz – przez miesiąc po szkoleniu dostępny będzie również film.
Zapisując się z kodem last-minute-auth możecie uzyskać -20% od ceny standard.
Szkolenie prowadzi Michał Sajdak, założyciel sekuraka.
Agenda:
Podstawowe definicje
- Uwierzytelnianie/autoryzacja – na jakie problemy możemy się natknąć? Najlepiej uczyć się na (cudzych) błędach – zaczynamy zatem od kilku prostych, realnych przykładów podatności z polskiego oraz światowego podwórka. W trakcie ich prezentowania wprowadzimy definicję uwierzytelnienia oraz autoryzacji.
A może da się prościej? Zupełny brak uwierzytelniania / autoryzacji.
- Prezentacja kolejnych realnych przykładów z życia wziętych.
- Nietypowe techniki omijania uwierzytelnienia.
Jak działa 2FA (dwuczynnikowe uwierzytelnienie) oraz przed czym chroni?
- Czy da się ominąć 2FA? (SMSy, Klucze sprzętowe, …)
Techniki bruteforce w służbie… omijania uwierzytelnienia / autoryzacji. Jak temu zapobiec?
- Kiedy identyfikatory nie są losowe…
- Jak brak ograniczenia na liczbę żądań może doprowadzić do katastrofy
Problemy z resetem hasła
- Jak można było w banalny sposób zresetować hasło dowolnemu użytkownikowi w pewnej znanej aplikacji?
- Jak otrzymać email z resetem hasła ofiary?
- Jak temu wszystkiemu zapobiec?
Jak bezpiecznie przechowywać hasła w bazie danych?
- Które algorytmy najbardziej opierają się łamaniu? (pokazy na żywo)
- Co daje, a czego nie daje sól?
Problemy bezpieczeństwa JWT (JSON Web Token) oraz jak im zapobiec?
- Niepoprawny dobór algorytmów kryptograficznych
- Problemy bezpieczeństwa w bibliotekach
Problemy bezpieczeństwa OAuth 2.0 oraz jak im zapobiec?
- Łagodny wstęp do OAuth 2.0
- Przegląd kilku ciekawych / częstych podatności w implementacji / konfiguracji OAuth 2.0
- Unikanie problemów bezpieczeństwa
–ms
