Где и когда?
ZeroNights 2018
Место: Россия, Санкт-Петербург, А2 Green Concert
Дата: 20-21 ноября 2018
Сайт конференции: 2018.zeronights.ru
Итоги ZeroNights HackQuest 2018
Друзья, объявляем итоги традиционного HackQuest ZeroNights! За семь дней квеста более 3500 пользователей посетили его главную страницу, а это на 1000 человек больше, чем в прошлом году.
Поздравляем победителей, которые получают инвайты на ZeroNights 2018: Felis-Sapiens, QwErTy, AV1ct0r, sysenter, beched, a1exdandy, Bartimaeous!
Все результаты квеста можно найти здесь: https://hackquest.zeronights.org.
Web Village на ZeroNights 2018
Вы спрашивали, как там Web Village? Все в порядке: атаки, уязвимости, обходы механизмов безопасности, новые инструменты, советы по Bug Bounty — об этом расскажем во второй день конференции в малом зале (перевод на английский не предусмотрен).
Программа:
Just One More Whitehat Guy - I <"3 XSS | 60 минут
Почему мануалы по XSS пришли в негодность? Почему твой вектор атаки составлен неправильно? Как атаковать без возможности обнаружения эксплойта на серверной стороне, обойти XSS Auditor — все это об эксплуатации XSS атак в современных реалиях.
H D, Pavel Rukavishnikov - Blind XSS | 25 минут
Монотонная проверка огромного количества параметров в поисках слепой инъекции может утомить даже самого упорного пентестера. Из доклада узнаем о способах поиска слепых инъекций, а также о плагине для BurpSuite, который решит эту проблему и позволит вам фокусироваться на других важных вещах во время поиска уязвимостей.
Иван Чалыкин - Основные способы обхода CSP | 30 минут
Если ты безопасник: XSS повсюду, с этим приходится мириться, но есть и хорошие новости: правильно внедренная технология CSP может свести на нет шансы эксплуатации. Если ты пентестер: CSP мешает твоей XSS? Скорее всего, внедрили неправильно, и сейчас мы все забайпасим!
Sergey «BlackFan» Bobrov - Автоматизация BugBounty | 40 минут
Зачем делать одни и те же действия вручную, когда можно автоматизировать поиск уязвимостей? Основные кейсы, плюсы и проблемы на примере Bug Bounty программ.
Andrey «L1kvID» Kovalev - ...troduction into browser hacking | 40 минут
Хочешь взломать браузер, но не знаешь с чего начать? Этот доклад для тебя!
Разберемся, какие баги актуальны, что из них можно выжать и насколько сложно эксплуатировать.
Alexey «SooLFaa» Morozov - Misconfiguration в инфраструктуре разработчиков | 30 минут
Как выглядит процесс разработки, какие приемы и средства используют команды, и как эти средства и процессы видит пентестер.
Omar «Beched» Ganiev - PHP | 60 минут
Экосистема PHP вскормила целое поколение хакеров и пентестеров. В последние годы ситуация и отношение к ней меняются, но с PHP-приложениями все еще много проблем и особенностей, о которых полезно знать как разработчикам, так и специалистам по безопасности. В докладе будет представлен обзор различных особенностей PHP от интерпретатора до сетевого взаимодействия, приводящих к уязвимостям.
Pavel «Paul_Axe» Toporkov - PHP unserialize | 30 минут
Из выступления узнаем, что такое (де)сериализация, как она реализована в PHP и чем это может быть опасно.
Aleksei «GreenDog» Tiurin - НЕтипичные уязвимости | 30 минут
В докладе будут показаны примеры эксплуатации неочевидных, но опасных уязвимостей.
Alexandr «Webr0ck» Romanov - Spel injection | 40 минут
Spel — язык выражений, созданный для Spring Framework, который поддерживает запрос и управление графом объектов во время выполнения.
К каким опасным последствиям это может привести? Где используется обработка Spel выражений? И как найти виноватую в этом функцию?
Egor «ShikariSenpai» Karbutov && Sergey "BeLove" Belov - Defense. Change my mind! | 60 минут
Ну какой же ты безопасник, если не знаешь как патчить баги. Да не просто патчить, а делать так, чтобы уязвимость больше не воспроизвелась и не породила другие ошибки.
Хочешь знать? Мы расскажем!
