Prelekcje na AKAI Security i PTaQ XX

Opublikowany: 17-02-2015 19:23 przez Krystian

Początek nowego roku to dwie nowe prezentacje i dwa wystąpienia, na których je przedstawiałem. Otrzymałem propozycję wystąpienia pod koniec stycznia na spotkaniu Poznańskiego Akademickiego Koła Aplikacji Internetowych (AKAI), którego "Camp" oznaczony numerem 6 w całości poświęcony był tematyce bezpieczeństwa. Na tę okazję przygotowałem krótką prezentację (wraz z live demem) pod tytułem "Reflected File Download – nowy kierunek ataków".

 

Jeśli nie słyszeliście o Reflected File Download to w telegraficznym skrócie - jest to błąd leżący częściowo po stronie przeglądarki, a częściowo po stronie aplikacji webowej, którego skutkiem może być wykonanie po stronie ofiary złośliwego skryptu w systemie operacyjnym. Wina przeglądarek leży w tym iż pozwalają atakującemu na wprowadzenie i kontrolowanie (poprzez url) nazwy pliku, który pojawi się w przeglądarce użytkownika ("file"). Wina aplikacji webowych leży w tym, iż źle lub wcale nie definiują content-type i content-disposition ("download") oraz w tym, że część requesta wraca do użytkownika ("reflected"). W efekcie użytkownikowi może się wydawać, że pobiera plik Install.bat z podatnej, ale w jego mniemaniu zaufanej domeny, podczas gdy ten plik nie istnieje fizycznie na tym zaufanym serwerze, a jego zawartość pochodzi głównie z dalszej części urla. Przyznam, że jest to nieco zagmatwane, dlatego odsyłam do mojej prezentacji, którą znajdziecie tutaj.

 

Drugie wystąpienie miałem na początku lutego, na XX spotkaniu Poznań Testing and Quality Group (PTAQ), gdzie mówiłem o interesującym dokumencie opracowanym przez OWASP - Application Security Verification Standard. Prezentacja nosi tytuł "OWASP ASVS - dwa praktyczne zastosowania standardu" i jest dostępna tutaj. Nie zobaczycie w niej zbyt wiele, ponieważ głównie skupiłem się na omówieniu treści dokumentu OWASP Application Security Verification Standard oraz opowiedzeniu o tym w jaki sposób można go użyć tworząc nowy projekt (a nawet definiując umowę o realizację projektu aplikacji webowej), albo oceniając poziom bezpieczeństwa istniejącej aplikacji webowej.

 

Obie prezentacje odbyły się na Politechnice Poznańskiej i obie zebrały około 90-100 widzów. Pobiłem więc swój rekord, ponieważ do tej pory moje prelekcje oglądało do 50 osób. Z obu jestem zadowolony, chociaż przyznam, że prezentacja na AKAI była niestety ostatnią z pięciu zaplanowanych, przez co wiele osób już zniknęło z widowni. Przyznam się jednak, że jestem nieco zmęczony dotychczasowymi prelekcjami. Zwłaszcza, że robię je po godzinach, planuję więc zrobić sobie przerwę. Pojawię się jeszcze w maju w Bydgoszczy na spotkaniu programistów aplikacji webowych, a potem powrócę do roli słuchacza na jakiś czas (-:

 

See ya soon, bro

Brak komentarzy