ZeroNights 2018: программа Web Village и итоги HackQuest

0
13

Где и когда?

ZeroNights 2018
Место: Россия, Санкт-Петербург, А2 Green Concert

Дата: 20-21 ноября 2018

Сайт конференции: 2018.zeronights.ru

Итоги ZeroNights HackQuest 2018

Друзья, объявляем итоги традиционного HackQuest ZeroNights! За семь дней квеста более 3500 пользователей посетили его главную страницу, а это на 1000 человек больше, чем в прошлом году.

Поздравляем победителей, которые получают инвайты на ZeroNights 2018: Felis-Sapiens, QwErTy, AV1ct0r, sysenter, beched, a1exdandy, Bartimaeous!

Все результаты квеста можно найти здесь: https://hackquest.zeronights.org.

Web Village на ZeroNights 2018

Вы спрашивали, как там Web Village? Все в порядке: атаки, уязвимости, обходы механизмов безопасности, новые инструменты, советы по Bug Bounty — об этом расскажем во второй день конференции в малом зале (перевод на английский не предусмотрен).

Программа:

Just One More Whitehat Guy — I <«3 XSS | 60 минут

Почему мануалы по XSS пришли в негодность? Почему твой вектор атаки составлен неправильно? Как атаковать без возможности обнаружения эксплойта на серверной стороне, обойти XSS Auditor — все это об эксплуатации XSS атак в современных реалиях.

H D, Pavel Rukavishnikov Blind XSS | 25 минут

Монотонная проверка огромного количества параметров в поисках слепой инъекции может утомить даже самого упорного пентестера. Из доклада узнаем о способах поиска слепых инъекций, а также о плагине для BurpSuite, который решит эту проблему и позволит вам фокусироваться на других важных вещах во время поиска уязвимостей.

Иван Чалыкин — Основные способы обхода CSP | 30 минут

Если ты безопасник: XSS повсюду, с этим приходится мириться, но есть и хорошие новости: правильно внедренная технология CSP может свести на нет шансы эксплуатации. Если ты пентестер: CSP мешает твоей XSS? Скорее всего, внедрили неправильно, и сейчас мы все забайпасим!

Sergey «BlackFan» Bobrov — Автоматизация BugBounty | 40 минут

Зачем делать одни и те же действия вручную, когда можно автоматизировать поиск уязвимостей? Основные кейсы, плюсы и проблемы на примере Bug Bounty программ.

Andrey «L1kvID» Kovalev  — …troduction into browser hacking | 40 минут

Хочешь взломать браузер, но не знаешь с чего начать? Этот доклад для тебя!

Разберемся, какие баги актуальны, что из них можно выжать и насколько сложно эксплуатировать.

 Alexey «SooLFaa» Morozov — Misconfiguration в инфраструктуре разработчиков | 30 минут

Как выглядит процесс разработки, какие приемы и средства используют команды, и как эти средства и процессы видит пентестер.

Omar «Beched» Ganiev — PHP | 60 минут

Экосистема PHP вскормила целое поколение хакеров и пентестеров. В последние годы ситуация и отношение к ней меняются, но с PHP-приложениями все еще много проблем и особенностей, о которых полезно знать как разработчикам, так и специалистам по безопасности. В докладе будет представлен обзор различных особенностей PHP от интерпретатора до сетевого взаимодействия, приводящих к уязвимостям.

Pavel «Paul_Axe» Toporkov — PHP unserialize | 30 минут

Из выступления узнаем, что такое (де)сериализация, как она реализована в PHP и чем это может быть опасно.

Aleksei «GreenDog» Tiurin — НЕтипичные уязвимости | 30 минут

В докладе будут показаны примеры эксплуатации неочевидных, но опасных уязвимостей.

Alexandr «Webr0ck» Romanov — Spel injection  | 40 минут

Spel — язык выражений, созданный для Spring Framework, который поддерживает запрос и управление графом объектов во время выполнения.

К каким опасным последствиям это может привести? Где используется обработка Spel выражений? И как найти виноватую в этом функцию?

Egor «ShikariSenpai» Karbutov && Sergey «BeLove» Belov — Defense. Change my mind! | 60 минут

Ну какой же ты безопасник, если не знаешь как патчить баги. Да не просто патчить, а делать так, чтобы уязвимость больше не воспроизвелась и не породила другие ошибки.

Хочешь знать? Мы расскажем!

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here