Najbardziej merytoryczna konferencja ITsec w Polsce

DOM Clobbering to technika ataku, w której atakujący, poprzez wstrzyknięcie z pozoru nieszkodliwego kodu HTML, jest w stanie manipulować obiektami w strukturze DOM. Prowadzi to do nadpisania globalnych zmiennych i właściwości w JavaScript, co może zaburzyć logikę działania aplikacji i otworzyć drogę do dalszych ataków takiich jak XSS. Pomimo faktu, że DOM Clobbering znany jest co najmniej od 2010 roku, rzadko poświęca mu się dużo uwagi.

W tej prezentacji przybliżę czym DOM Clobbering jest, kiedy można się na niego natknąć oraz pokażę kilka świeżych przykładów ataków, które umożliwił.

Pamiętasz sytuację kiedy trzeba zrobić istotną operację w aplikacji, a ona nie działa? To są właśnie skutki ataków DoS (Denial Of Service), ale jak do nich może dojść. Ta prezentacja będzie przewodnikiem, który przedstawi wiele technik wykonywanych na warstwie aplikacyjnych prowadzących do zatrzymania usługi. Jeśli jesteś ciekawy jak jedną liczbą, prostym YAML’em czy obrazkiem zatrzymać serwer to jesteś w odpowiednim miejscu.

Zapraszamy na smaczny poczęstunek i rozmowy w kuluarach.

Podczas prezentacji przedstawimy najnowsze trendy wynikające z analizy tysięcy testów penetracyjnych i audytów bezpieczeństwa. Podobnie jak w poprzedniej edycji, omówimy trzy kluczowe obszary: bezpieczeństwo aplikacji, infrastruktury oraz wnioski płynące z testów opartych na inżynierii społecznej. Nowością w 2025 roku będzie omówienie bezpieczeństwa chmury publicznej – dowiesz się, jakich błędów unikać zabezpieczając zasoby w AWS, Azure i Google Cloud.

Kosmos to nie tylko rakiety i astronauci, ale też infrastruktura krytyczna, która może stać się celem ataków. Podczas wystąpienia pokażę, jak w kontrolowanych warunkach odtworzyć scenariusze włamań do systemów satelitarnych: od analizy protokołów i OSINT-u, przez legalny nasłuch komunikacji prawdziwych satelitów, po wykorzystanie błędnych konfiguracji w takich urządzeniach

Kto stoi za cyberatakiem?

To pytanie nie sprowadza się dziś wyłącznie do wskazania adresu serwera czy fragmentu kodu. Gdy stawką jest przypisanie winy całemu państwu, rozpoczyna się złożony proces – od analizy artefaktów technicznych, przez ocenę intencji i wzorców działania, aż po kalkulacje polityczne i działania prawne. W tej prezentacji pokażę, jak państwa – przede wszystkim USA, lider w publicznej atrybucji – wskazują inne państwa jako sprawców cyberataków. Przejdziemy przez techniczne, prawne i polityczne aspekty tego procesu: od TTP i fałszywych flag, przez akty oskarżenia i oficjalne komunikaty, aż po wyzwania związane z wiarygodnością i konsekwencjami międzynarodowymi.

• Czym jest eBPF
• Jak działa, pisanie prostego programu
• Wykorzystanie do budowania rootkitów w kernel space
• Ukrywanie komunikacji

Zapraszamy na ciepły poczęstunek by nabrać sił na ostatnie prezentacje 🙂

W obszarze zainteresowań wielu z nas bezpieczeństwo głównie odnosimy do bezpieczeństwa cyfrowego, czasem rzucając okiem na różnego rodzaju systemy kontroli dostępu.
Czasem jednak warto spojrzeć na bezpieczeństwo w naszym otoczeniu w tym bardziej klasycznym wydaniu – czyli jako szeroko rozumiane tylne drzwi wejściowe do zakładu czy archiwum.
Nie tak rzadko z zaskoczeniem odkryjemy, że najsłabszym punktem naszego systemu będą źle skonfigurowane drzwi automatyczne, albo kiepskiej jakości klasyczny zamek w drzwiach, a nie adekwatnie dobrany system kluczy elektronicznych…

Hacking Depot – specjalny pokaz przygotowany przez etycznych hakerów praktyków z Securitum, dostępny tylko „na żywo” w Krakowie! Co w programie?

Hackowanie na żywo przykładowej sieci, aplikacji, urządzeń… Rozmowy w kuluarach z hackerami-prelegentami. Sekrety i triki doświadczonych pentesterów w działaniu.

Ścieżka EXEC – topowi CISO z Polski, podzielą się swoim doświadczeniem, praktycznymi poradami i strategiami sukcesu! Udział w ścieżce powinien być punktem obowiązkowym dla każdego, kto zarządza bezpieczeństwem w różnego rodzaju organizacjach.

Zaprosiliśmy: CISO mBank (Jarosław Górski) / CISO Pekao S.A. (Robert Mazur) / CISO Alior Bank (Przemysław Kulesza) / CISO Orange (Przemysław Dęba) / Szef CERT Polska (Marcin Dudek) / Szef CSIRT KNF (Paweł Piekutowski) / CISO TZF Polfa (Krzysztof Cabaj) / CISO ING Bank / CISO BGK (Konrad Płachecki) / CEO Securitum Audyty (Radoslaw Stachowiak)