Tu jest miejsce na Twoja reklamę! Szczegóły współpracy...

październik 11th, 2014

Spotkanie OWASP Poland - Kraków 2014-10-21

Kategoria wpisu: - Prelekcje, Wydarzenia: - Maciej Frużyński @ 17:21

Organizatorzy zapraszają na kolejne spotkanie poświęcone bezpieczeństwu aplikacji. Tym razem uczestników będzie gościć Akademia Górniczo Hutnicza w Krakowie (pawilon C-2, sala 224).

W programie dwa wykłady dotyczące badań nad bezpieczeństwem aplikacji. Obydwa tematy miały niedawno premierę na międzynarodowych konferencjach - “AppSec Research” w Cambridge i “International Conference on Computational Collective Intelligence Technologies and Applications” w Seulu. Udało się namówić prelegentów na zaprezentowanie tych badań na spotkaniu.

Ponadto zaplanowana jest dyskusja o karierze w bezpieczeństwie informacji a konkretnie o certyfikatych zawodowych. Pojawi się również nowy stały element spotkań - “Giełda Pracy”, czyli czas kiedy potencjalni pracodawcy będą mogli krótko zaprezentować swoją ofertę pracy lub staży. Pracodawcy, którzy skorzystać z tej okazji, proszeni są o wcześniejszy kontakt z Wojciechem Dworakowskim (wojciech.dworakowski@owasp.org). Czas na pojedynczą prezentację pracodawcy - 3 min.

Opisy prelekcji:

1. Modelowanie zachowań użytkowników serwisów internetowych w celu identyfikacji prób ataku (dr Marek Zachara, AGH)

Przedstawienie wyników projektu badawczego nakierowanego na automatyczne tworzenie profilu zachowań użytkowników serwisu internetowego, tu w rozumieniu przejść pomiędzy stronami (page flow). Reprezentacja grafowa takich przejść pozwala z jednej strony poradzić sobie z dużą ilością danych (przechowywanych w jednym grafie), z drugiej identyfikować nietypowe przejścia. Dzięki temu można identyfikować próby ataku np. typu ‘forceful browsing’, próby identyfikowania standardowych modułów administracyjnych (np. ‘phpmyadmin’) itp. Dużą zaletą tego rozwiązania jest brak konieczności konfiguracji i utrzymywania tego systemu ochrony - dostosowuje się on ‘na bieżąco’ do istniejącej aplikacji internetowej.

2. Przechwytywanie ruchu w niestandardowych protokołach sieciowych (Jakub Kałużny, SecuRing)

Istnieje mnóstwo narzędzi umożliwiających przechwytywanie ruchu HTTP/HTTPS, co świetnie się sprawdza podczas testowania aplikacji webowych oraz mobilnych. Jednak podczas testów penetracyjnych specjalizowanego oprogramowania “embedded” lub “grubego klienta” często spotyka się z nieznanymi i nieudokumentowanymi protokołami sieciowymi. Takiej warstwy pośredniczącej nie da się obsłużyć za pomocą szeroko dostępnych narzędzi “local proxy”, a bez zrozumienia i rozłożenia protokołu na czynniki pierwsze, testowanie “backendu” jest bardzo ograniczone. Z doświadczenia wynika, że pod przykrywką nieznanego protokołu, stanowiącego zabezpieczenie typu “security by obscurity”, często znajdują się kompletnie niezabezpieczone mechanizmy łamiące wszelkie zasady dotyczące bezpiecznego programowania.

3. Certyfikaty zawodowe dotyczące bezpieczeństwa IT/aplikacji - Czy warto? (otwarta dyskusja)

CISSP, CISM, OSCP, OSCE, eCCPT, Sec+, itp. itd. Co wybrać? Czy warto inwestować czas i pieniądze? Kontynuacja dyskusji, która wywiązała się na grupie Linkedin OWASP Poland. Zapraszamy zarówno tych którzy zastanawiają się nad wyborem ścieżki zawodowej, tych którzy już zaczęli ale myślą czy warto inwestować w certyfikaty zawodowe, tych którzy już zdobyli któreś z certyfikatów i zechcieliby podzielić się swoimi doświadczeniami, jak i pracodawców.

Rejestracja:
http://www.eventbrite.com/e/spotkanie-owasp-poland-krakow-2014-10-21-tickets-13551435709 źródło: OWASP Poland Local Chapter

Dodaj komentarz

Wydarzenia

    Brak wydarzen.

O Nas

Inicjatywa "IT w Krakowie" jest niedochodową i apolityczną organizacją pozarządową. Nasz cel to integracja, promowanie oraz rozwój społeczności informatycznej w Krakowie i regionie.
czytaj więcej

Archiwum