INFOSEK 2017
INFOSEK 2007 - Nova Gorica
Slovensko
English
22. - 23. 11. 2007
Preberite kaj menijo udeleženci prejšnjih konferenc.

Zanimivo, motivacijsko, profesionalno, uporabno, koristno. Odnos, ki je odprt, motivacijski in prijazen!

Ana Pavlovski, Stelkom d.o.o.

Delavnica: Hacking beyond OWASP Top Ten / Hekanje onstran OWASP Top Ten

18.11.2015, 8.30 - 13.30

Kratek opis:

Spletne aplikacije so eden od šibkih členov informacijskih storitev. Na anonimiziranem resničnem primeru bo opisana in prikazana ranljivost spletne aplikacije, ki je zelo pogosto spregledana pri večini revizij informacijskega sistema in lahko predstavlja kritično tveganje za informacijski sistem in podatke. Da se bo vsebina za vedno vtisnila v spomin bo večina delavnice temeljila na prikazih v živo in vodenem procesu hekanja vseh udeležencev, za kar pa ni potrebno poglobljeno tehnično predznanje.

Trajanje delavnice:

5 ur z vključenimi pavzami (8:30 – 13:30)

Koristi:

  • Poglobljeno poznavanje spletne varnosti.
  • Seznanitev in osnovna uporaba ključnih orodij za hekanje spletnih aplikacij.
  • Poznavanje modelov za celovito zagotavljanje spletne varnosti.

Potek delavnice:

  • Predstavljeno bo potrebno teoretično ozadje.
  • Ključne spletne tehnologije.
  • Načini uporabe spletnih tehnologij.
  • Vzroki za napake in posledične ranljivosti.
  • Načini in tehnike izrabe ranljivosti.
  • Prikazano bo hekanje spletne aplikacije v živo.
  • Udeleženci bodo skozi voden proces sami zvedli hek oz. vdor na spletni strežnik z izrabo ranljivosti spletne aplikacije.
  • Odpravili ranljivost spletne aplikacije.
  • Verificirali uspešno odpravo ranljivosti spletne aplikacije.
  • Predstavljen bo celovit pristop k zagotavljanju varnosti spletnih aplikacij.
  • Proces celovitega upravljanja z varnostjo.
  • Odprava tehnične ranljivosti.

Od udeležencev, ki bi radi sami izvajali praktični del delavnice, se pričakuje uporaba lastnega prenosnega računalnika z nameščeno programsko opremo VirtualBox.

Nekaj dni pred delavnico bo udeležencem posredovana povezava do VirtualBox okolja za izvajanje praktičnega dela delavnice.

Grega Prešeren

Grega PrešerenPrešeren se od vsega začetka profesionalne kariere primarno ukvarja z revizijami varnosti informacijskih sistemov, varnostnimi pregledi in vdornimi (penetracijskimi) testi. V podjetju Astec je od leta 2010 vodil in izvedel več kot 50 varnostnih pregledov omrežij, IT storitev, spletnih, mobilnih in drugih aplikacij, industrijskih sistemov ipd. Od leta 2015 je član varnostne ekipe v podjetju S&T. Je nosilec večih strokovnih certifikatov s področja informacijske in aplikacijske varnosti (GXPN, GWAPT) in informacijskih omrežij (CCNP, CCNA Security, CCAI). Izvaja tudi izobraževanja s področja aplikacijske varnosti in večkrat letno predava na konferencah s področja informacijske varnosti.