Место: Россия, Санкт-Петербург, А2 Green Concert
Дата: 12-13 ноября 2019
Сайт конференции: https://zeronights.ru/
На ZeroNights 2019 можно будет послушать доклады Web Village и выяснить, как работает современный веб, узнать об уязвимостях и о современных атаках на веб-приложения, поучаствовать в викторине и выиграть памятные призы.
Web Village пройдет во второй день конференции — 13 ноября 2019 года. Доклады начнутся в 12:00 в зале «Спутник» клуба А2. Обратите внимание, что перевод докладов Web Village на английский не предусмотрен.
Алексей «GreenDog» Тюрин — «От мисконфига к суровым последствиям» [25 мин.]
Этот доклад — про подписанные куки (signed cookie) и все, что с ними связано.
Павел «sorokinpf» Сорокин (@sorokinpf) — GraphQL applications security testing automatization [25 мин.]
Расскажут об аспектах автоматизации безопасности приложений GraphQL: сканнинг всех параметров в SDL с тестированием контроля доступа Burp, поиск DoS-loops, обнаружение различных путей к критичным данным.
Валерий «krevetk0» Шевченко — «Принципы тестирования и баги, которые проглядели остальные» [25 мин.]
Что знает обычный тестировщик чего не знает баг-хантер? Конечно, глубокого понимания работы приложения. А еще «хантер» может не знать о самих принципах тестирования. В этом докладе разберем принципы тестирования программного обеспечения и как они помогают в повседневной работе. Ну и конечно разберем на реальных примерах, когда эти принципы помогали находить критические проблемы различных компаний.
Алексей «SooLFaa» Морозов (@xSooLFaa) — «Blind SSRF» [25 мин.]
SSRF (Server-Side Request Forgery) — это возможность передавать url, по которому перейдет уязвимый сервер. Злоумышленник может собирать данные о внутренней инфраструктуре и спланировать атаку с помощью RCE. Однако часто возникает ситуация, когда SSRF существует неявно или с рядом ограничений. В докладе описываются методы обнаружения и последующего использования BLIND SSRF в различных технологиях.
Антон «Bo0oM» Лопаницын (@i_bo0om) — «Охота на феникса» [25 мин.]
Community-доклад о деанонимизации фишеров с помощью уязвимостей в ПО, которыми они пользуются.
Рамазан «r0hack» Рамазанов — «Эксплуатация инъекций в ORM-библиотеках» [25 мин.]
Это доклад об интересном классе атак — инъекции в ORM-диалекты SQL, являющиеся грамматическим слоем абстракции между приложением и СУБД. Подробнее рассмотрим инъекции в диалекте Doctrine Query Language.
Сергей «BeLove» Белов (@sergeybelove) — «Будущее без паролей — про WebAuthN и не только» [25 мин.]
Наличие паролей у пользователей для современного сервиса — большая сложность. Фишинг, credentials stuffing, слабые пароли, антибрутфорс защита — все это головная боль любого отдела безопасности. Безопасная и массовая альтернатива только начинает поддерживаться современным вебом — стандартном WebAuthN. О всех проблемах отказа от паролей, как будут атаковать пользователей без паролей — в этом докладе.
Paul Axe (@Paul_Axe) — «ZN PWN Challenge» [25 мин.]
Увлекательная история о продолжении многолетних традиций.
Денис «ttffdd» Рыбин (@_ttffdd_) — «Аудитим зоопарк сервисов AWS» [45 мин.]
В докладе рассматриваются различные аспекты аудита AWS инфраструктур. Разберемся с многообразием предоставляемых сервисов, как строится их взаимодействие и как обеспечивается безопасность. Разбор вспомогательных инструментов и живых кейсов.
Андрей Пластунов — «ООП в mvc фреймворках. Как не сделать хуже, чем было» [25 мин.]
В докладе на примерах покажем, как сломать дефолтные политики разграничения доступа в некоторых популярных MVC фреймворках с помощью неаккуратного использования парадигм ООП, в частности, наследования.
Время докладов можно посмотреть в программе конференции.