Relacja z Sekurak Hacking Party

Wrocław/ 20 maja 2019

RELACJA Z WYDARZENIA

Data: 20.05.2019 / Miejsce: Multikino, Pasaż Grunwaldzki

WASZE POZYTYWNE OPINIE

Dobrze się bawiłem, dowiedziałem się wielu ciekawych rzeczy, generalnie polecam każdemu się wybrać choć raz na hacking party w jakimś mieście ;p

Zdecydowanie najlepszy meeting na jaki byłem we Wrocławiu w tym roku. Masa ciekawej wiedzy zaprezentowanej w niebanalny sposób. Naprawdę polecam i już czekam na kolejny.

AGENDA

  • 18:00-18:45

    Magia XSS-ów

    Michał Bentkowski

    W prezentacji zostanie pokazane w jaki sposób XSS-y przestały już być domeną wyłącznie aplikacji webowych – na przykładzie żywej aplikacji Google, w której kliknięcie na linka w aplikacji… prowadziło do przejęcia kontroli nad komputerem użytkownika!

  • 18:45-19:15

    Czy OAuth2 jest bezpieczny? Tak. Poza tym, że czasem można bez uwierzytelnienia wykonywać kod w OS

    Michał Sajdak

    OAuth2 jest generalnie bezpieczny. Poza przypadkami gdy zostanie nieprawidłowo zaimplementowany. Po krótkim wstępie zobaczycie na żywo przykładowe ataki na OAuth2.

  • 19:15-19:45

    Look mum, no javascript!

    Jakub Żoczek

    W świecie aplikacji webowych o błędach typu Cross-Site Scripting słyszy się co chwile. Co jednak, gdy aplikacja z jakichś powodów pozwala wyłącznie na wstrzyknięcie czystego kodu HTML? Rozważmy, czy w tym ograniczonym środowisk możemy nadal rozrabiać. Spoiler – można.

  • 19:45-20:30

    Prototype Pollution – na przykładzie Kibany (CVE-2019-7609)

    Michał Bentkowski

    W prezentacji pokazane zostanie odtworzenie błędu CVE-2019-7609 w systemie do wizualizacji danych w Kibanie. Istotą błędu był specyficzny dla Javascriptu problem znany jako „prototype pollution”. Na prezentacji dowiemy się czym jest ten problem bezpieczeństwa i jakie kroki można było poczynić, by odtworzyć żywą podatność.

  • 20:30-21:00

    Czy da się napisać malware w 15 minut?

    Paweł Maziarz

    (a w zasadzie w 12, bo wypada się przedstawić i poodpowiadać na pytania), którego nie powstydziłaby się niejedna grupa APT? Sprawdzimy, a głównymi aktorami będą Powershell.exe, DNS oraz ICMP.