Приглашаем на OWASP EEE 11 октября
C 6 по 12 октября пройдёт целая серия из 7 мини-конференций для специалистов по информационной безопасности под общим названием OWASP EEE. Встречи пройдут в 6 разных странах: в Польше, Литве, Румынии (в городах Клуж (Cluj) и Бухарест), в Венгрии, России и Австрии. На каждой встрече будут разные доклады, но благодаря ежедневной онлайн-трансляции вы сможете посмотреть все интересующие выступления. Российская часть OWASP EEE состоится 11 октября в офисе Mail.Ru Group. Обращаем внимание, что все доклады будут на английском языке.
Программа встречи:
13:30 — 14:00: Регистрация гостей.
14:00 — 14:45: Тарас Иващенко, Яндекс
«Для интернет-компаний очень важно как можно скорее выйти на рынок с готовым продуктом. Чем быстрее вы предложите пользователям новые возможности, тем лучше сервис. Это критически важно, и специалистам по информационной безопасности необходимо подстраиваться под требования рынка. Я рассмотрю несколько случаев выстраивания системы безопасности продукта, покажу, как можно избегать различных проблем, приводящих к срывам сроков развёртывания».
14:50 — 15:35: Закария Рашид (Zakaria Rachid), консультант по информационной безопасности
«Мы поговорим о взломе платёжных терминалов и разных устройств, которые окружают нас в повседневной жизни. Первая версия этого доклада была представлена во Франции на Nuit du Hack 2014. С тех пор я дополнил его информацией о новых векторах атаки и критически важной инфраструктуре, а также более подробно рассмотрел некоторые из старых векторов. Кроме того, я расширил часть, в которой описываются средства защиты от атак. Так что доклад стал более зрелым».
15:40 — 16:00: Перерыв.
16:00 — 16:45: Омар Ганиев, Ahack.ru
«Я рассмотрю некоторые способы, хитрости и инструменты для быстрой оценки безопасности веб-приложения (методы «чёрного ящика» и «белого ящика»). Всё это может вам пригодиться в самых разных ситуациях: для скоростного или масштабного тестирования на проникновение, в условиях недобросовестной конкуренции, при поиске багов за вознаграждение и т.д. Мы рассмотрим минимальный набор необходимых тестов и кратчайшие способы получения управления приложением».
16:50 — 17:35: Иван Новиков, Wallarm.com
«OOB — это методика добывания информации через каналы передачи информации, которые не используются для пересылки непосредственно данных. Мы знаем, что в случае с MySQL для этого может использоваться лишь функция load_file(). Однако данный метод подразумевает использование UNC-имён и работает лишь под Windows. Я расскажу о наших попытках найти иные способы получения данных из MySQL с помощью OOB. Конечно, это имеет отношение и к SSRF-атакам с помощью внедрения SQL-кода».
Онлайн-трансляция всех семи встреч будет вестись на Youtube-канале.
Адрес офиса Mail.Ru Group: Ленинградский проспект, 39, строение 79.
Для регистрации на это мероприятие нужно иметь действующий аккаунт на IT.Mail.Ru.
