Отчет с Security Meetup 22 октября

image

22 октября в нашем офисе прошел очередной Security Meetup. На встрече было пять докладов, посвященных различным уязвимостям. Были раскрыты такие вопросы, как реверс-инжиниринг в Enterprise и связанные с ним бизнес-процессы (на примере платежной системы Qiwi), небезопасная десериализация данных в PHP, степень надежности двухфакторной аутентификации в мобильных приложениях, работа за деньги на bug bounty, а также возможность атаки с помощью «опасного» видеофайла.
Презентации спикеров:

«Опасное видео». Максим Андреев, Облако Mail.Ru.

Максим Андреев, программист команды Облака Mail.Ru, сделал доклад о том, как с помощью специально подготовленного видеофайла осуществить SSRF-атаку, и рассказал, как даже без запуска и просмотра «опасное видео» позволяет деанонимизировать отдельных пользователей и красть файлы с их компьютеров.

Видео выступления.

«Реверс-инжиниринг в Enterprise». Александр Секретов, Qiwi.

Александр Секретов – эксперт по информационной безопасности Qiwi. Он рассказал о бизнес-процессах, связанных с реверс-инжинирингом в enterprise, а также о том, как опыт анализа приложений позволяет повысить уровень безопасности инфраструктуры и приложений.

Видео выступления.

«When big brick wall becomes wooden fence» or «how to get 1kk on the Bug Bounty». Кирилл Ермаков, Qiwi.

Кирилл Ермаков, CISO группы компаний QIWI, рассказал о типичных ошибках, которые делают люди, мечтающие заработать миллион на bug bounty, и показал несколько интересных находок на примере популярных интернет-сервисов.

Видео выступления.

«Мобилки, деньги, два фактора». Дмитрий Евдокимов, DigitalSecurity.

Дмитрий Евдокимов, директор исследовательского центра компании DigitalSecurity, говорил о двухфакторной аутентификации, используемой, в том числе, и в мобильных приложениях.

Видео выступления.

«PHP Unserialize Exploiting». Павел Топорков, Лаборатория Касперского.

Павел Топорков из Лаборатории Касперского выступил с докладом о том, как эксплуатировать небезопасную десериализацию данных в PHP, и о том, что именно помогает использовать данную уязвимость в реальных условиях.

Видео выступления.

Фотографии с митапа смотрите по ссылке.

© Habrahabr.ru