27 — 31 МАРТА, 2017
Киев, ул Немировича-Данченко, 2, корпус 4 (КНУТД), аудитория 104
Security Testing Marathon – это возможность за пять вечеров получить обзорные знания по ключевым направлениям тестирования безопасности web и мобильных приложений, анализу кода и поиску уязвимостей, а также собственными руками препарировать образцы вредоносных программ.
Марафон рассчитан на программистов и тестировщиков, которые понимают значение информационной безопасности и хотят делать качественные, надежные продукты.
И обязательно берите с собой ноутбуки – ПРАКТИКА КАЖДЫЙ ДЕНЬ!
Спикер марафона - Николай Ильин
Если учиться – то только у лучших в мире! Всю марафонскую дистанцию вашим тренером будет технический директор компании KievInfoSecurity, основатель и капитан команды dcua, которая по итогам 2016 года стала победителем в рейтинге CTFtime (общемировой рейтинг команд, участвующих в соревнованиях по информационной безопасности).
Помимо практической работы по техническому аудиту и исследований систем защиты, Николай преподает на кафедре информационной безопасности Физико-технического института НТУУ «КПИ». Поэтому умеет рассказать об очень сложных вещах так, чтобы это было интересно профессионалам с большим опытом работы, но при этом понятно тем, кто пока не имеет глубоких знаний в области information security.
ПРОГРАММА МАРАФОНА
27 марта, 19:00-22:00
Безопасность web приложений
Вместо вступления: что является предметом тестирования безопасности.
Кто такие White hat hackers. Основные разделы тестирования безопасности
Основные уязвимости OWASP TOP-10
Инструментальные средства поиска и эксплуатации:
— BurpSuite, ZAP
— sqlmap
— BeEF
28 марта, 19:00-22:00
Специальные разделы безопасности веб приложений
Ошибки при реализации криптогрфических элементов:
— PRNG state recovery на примере LCG, MT19937 (восстановление пароля
администратора, CSRF токенов и др.)
— Эксплуатация проблемы сравнения PHP
— Padding oracle атаки
— Hash length extension
Методы противодействия фильтрации и WAF (web application firewall) при эксплуатации SQLi и XSS
29 марта, 19:00-22:00
Анализ мобильных приложенийОбзор методов анализа Android и iOS:
— Инструменты динамического и статического анализа
— Методы инструментирования на базе FRIDA
Примеры анализа образцов вредоносного программного обеспечения для платформ
30 марта, 19:00-22:00
Анализ бинарного кода и вредоносного программного обеспечения
Инструменты анализа:
— IDA Pro
— ImmDbg, x64dbg
— Hiew
Пример анализа образцов вредоносного ПО
31 марта, 19:00-22:00
Анализ бинарных уязвимостей
Эксплуатация переполнения буфера, обзор и практические примеры:
— Переполнение стека
— Методы защиты и противодействия NX, SSP
— Переполнение кучи
— Методы противодействия ASLR
— уязвимости форматной строки (formatstring)
Отличия эксплуатации уязвимостей приложений для архитектур x86 и ARM, Windows/Linux
Регистрация на марафон тут
Комментариев нет:
Отправить комментарий