Место: Россия, Санкт-Петербург, А2 Green Concert
Дата: 12-13 ноября 2019
Сайт конференции: https://zeronights.ru/
В этом году конференция ZeroNights 2019 пройдет 12-13 ноября в Санкт-Петербурге. Ранее уже были объявлены два ключевых спикера мероприятия, а также обнародована информация о первых утвержденных докладах.
Продолжаем знакомить вас со спикерами ZeroNights 2019 и представлять доклады.
«Oldschool way of hacking MicroDigital ip-cameras»
Илья Шапошников
Илья Шапошников расскажет о поиске уязвимостей в IP-камерах от компании Microdigital: начиная со взлома аппаратной части и дампа прошивки и заканчивая обнаружением более чем 10 уязвимостей (DoS, CSRF, SQL injection, SSRF, Auth Bypass, RCE, BOF).
«Trusted Types & the end of DOM XSS»
Якуб Врана, Кшиштоф Котович (Jakub Vrana, Krzysztof Kotowicz)
Trusted Types – новый способ противодействия DOM XS. Он основан на замене используемых в чувствительном контексте строк на новые типы, генерация которых полностью контролируется и осуществляется приложением. В процессе доклада аудитория узнает, какие изменения Google производит в своей базе кода, чтобы внедрить Trusted Types.
«app.setAsDefaultRCEClient: Electron, scheme handlers and stealthy security patches»
Юхо Нурминен (Juho Nurminen)
В ходе доклада будут представлены техники удаленного исполнения кода при помощи обработчиков URI в шести популярных приложениях компании Electron. Несмотря на выпущенный патч, защищающий все исследованные приложения от CVE-2018-1000006, эти техники до сих пор эффективны. Также слушатели узнают о двух малоизвестных средствах снижения рисков, которые внедрила компания Electron.
«From JDBC URI to a New Remote Code Execution Attack Surface»
Юнтао Ван (Yongtao @by_Sanr Wang)
В докладе Юнтао представит новую технику проведения атак – JDBC (Java Database Connectivity) URI Attack. Используя ее, злоумышленник может перехватить контроль на JDBC URI, взломать сервер жертвы и выполнить на нем произвольный код. Также Юнтао покажет демо различных сценариев атак, и объяснит, как добиться выполнения произвольного кода, атакуя JDBC URI. Будет затронута тема эксплуатации Mysql, Oracle, Postresql и других баз данных, встречающихся в практически каждой корпоративной системе, а также ошибки безопасности официального стандарта JDBC, которые окажут влияние на десериализацию Java.
«(Why) We Still Fail at Cryptography in 2019»
Андрей Беленко (Andrey Belenko)
Криптография уже многие десятилетия является неотъемлемой частью защиты вычислительных систем и лежит в основе TLS, шифрования запоминающих устройств и файлов, различных видов аутентификации и так далее. Может показаться, что за долгие годы индустрия научилась правильно внедрять средства криптографии, но на самом деле многие компании, включая те, что специализируются в области безопасности, постоянно совершают ошибки. В ходе доклада будут рассмотрены наиболее примечательные криптографические неудачи последних лет. Также Андрей расскажет, как можно предотвратить возникновение подобных проблем.
Более подробную информацию о самих докладчиках можно найти в новостях, на официальном сайте ZeroNights.
Между тем, до конференции остается все меньше времени, поэтому скорее приобретайте билеты!