Хакер #305. Многошаговые SQL-инъекции
Defcon Russia — это независимое и открытое сообщество, объединяемое интересами в области ИТ и ИБ. Основная цель — создание коммьюнити среди студентов, программистов, хакеров, системных администраторов и прочих гиков. Группа дискуссионная, так что приветствуются все те, кто хочет высказаться, предложить свои идеи и показать свои работы, а главное — найти единомышленников.
Встреча осуществляется при содействии Defcon Moscow.
19 встреча Defcon Russia состоится в рамках Сhaos Сonstructions 2014, который пройдёт 29-31 августа в Санкт-Петербурге. Встреча назначена на 30 августа, 17.00.
На встрече будет 5 выступлений и круглый стол.
1. Алексей Синцов — @asintsov: «SDLC — try me to implement. Можно ли просто так взять и внедрить SDLC?»
2. Георгий Лагода — @r0x41Id3n: «Альтернативное использование веб-сервисов SharePoint со стороны информационной безопасности». Последние исследования показали, что у SharePoint есть определённое количество веб-сервисов, которые могут помочь аудитору собрать крайне полезную информацию с сайта (списки пользователей, групп, ролей и т д). Также эти сервисы, в комбинации с хранимыми XSS, можно использовать для вертикального повышения привилегий или получения информации для компрометации доменных записей AD.
3. Андрей Беленко — @abelenko: «Внутреннее устройство и безопасность iCloud Keychain». Где и как iCloud Keychain хранит пароли, какие потенциальные риски это несёт. Apple утверждает, что пароли надёжно защищены, и даже её сотрудники не могут получить к ним доступ. Чтобы это подтвердить или опровергнуть, необходимо разобраться с внутренним устройством iCloud Keychain, чем мы и займёмся.
4. Сергей Белов — @sergeybelove: «Покажите нам Impact! Доказываем угрозу в сложных условиях». Всё шире и шире получают распространение bug bounty программы — программы вознаграждения за уязвимости различных вендоров. И порой при поиске уязвимостей находятся места, которые явно небезопасны (например, self XSS), но доказать от них угрозу сложно. Но чем крупнее (хотя, скорее, адекватнее) вендор, тем он охотнее обсуждает и просит показать угрозу от сообщённой уязвимости, и при успехе — вознаграждает. Этот доклад — подборка таких сложных ситуаций и рассказ, как же можно доказать угрозу.
5. Тарас Татаринов: «Применение аппаратных закладок Pwnie Express на примере реального проекта». Кратко о концепции изолированных сетей и возможных путях их компрометации. Обзор аппаратной закладки Pwnie Express — для чего создавалась, какие возможности использования. Как Pwnie Express применялась в реальном проекте, какие были трудности и что из этого вышло.
Расписание: http://chaosconstructions.ru/start/timetable.
Подробности и новости читай на http://defcon-russia.ru/news/38/.
Twitter — https://twitter.com/defconrussia.
Место — клуб А2.
Россия, Санкт-Петербург, м. Петроградская, проспект Медиков, д. 3 (http://her.is/u5akLP).
Вход платный. По поводу билетов на СС'14: http://chaosconstructions.ru/news/article-53fca9a9f084e.