OWASP AppSec EUROPE 2011: День первый

День первый

Итак, первый день начался для меня с доклада Дэвида Стабли из 7 Elements Ltd на модную нынче тему и не паханое поле для троллинга — APT . APT в данном случае — это вовсе не пакетный менеджер, как могли бы подумать поклонники Debian GNU/ Linux. APT есть Advanced Persistent Thread или «постоянная продвинутая угроза» (хотя и «целенаправленная угроза» на слух чуть получше буквального перевода). Иными словами, даже установив все обновления безопасности, закрыв все порты на файрволе и заблокировав все социальные сети, ты все равно чувствуешь, что сделано недостаточно. Всегда есть опасение, что даже самую надежную защиту могут «пробить», если это будет кому-то очень надо, и если закажет кто-то серьезный. Радуйтесь менеджеры по продажам ИБ решений (наш продукт защищает даже от APT!) и трепещите директоры по безопасности крупнейших (и не очень) компаний — APT идет! :) Дэвид кратко рассказал о том, как он понимает APT, о нашумевших последних случаях, которые так или иначе ассоциируют с этим термином. Бытовые печи, камины - чугунные топки для каминов. Купить рабочую спецодежду. Купить спецодежду оптом в каталоге.

Удивил доклад «Как стать админом твиттера: введение в атаки на современные веб-сервисы» Андреса Фалкенберга из Рурского университета. Стало сюрпризом то, что на самом деле в докладе рассматривалась гипотетическая атака, а вовсе не реальный случай. Это. конечно, расстроило, но тем не менее, само по себе выступление получилось интересным и было посвящено атакам на веб-сервисы (в частности программные интерфейсы популярных облачных сервисов), предоставляющих SOAP-интерфейс. И конкретно на механизм защиты XML Signature путем обертки подписанных XML-объектов, которые адресуются по id в другие, но уже со вставкой своей команды. Получается, что для серверной части подписанная команда проходит валидацию нормально, но при этом выполнится совсем другая, подсунутая злоумышленником! Доклад получился достаточно живым и стал одним из наиболее интересных с технической точки зрения на конференции.

Дублин красив, много пабов и пива

Неожиданно интересным получился доклад, а также секция вопросов-ответов от Марка Кросби из гиганта IBM про их опыт интеграции контролов безопасности в цикл разработки программного обеспечения. Что, если раздать разработчикам веб-приложений преднастроенные сканеры уязвимостей и попробовать заинтересовать их вопросами безопасности таким образом? Начнут ли они писать более безопасный код? А что, если устроить целое состязание в шуточной форме? Чувствуется, что в IBM в отделе безопасности экспериментируют с мотивацией разработчиков и даже пытаются подходить к этому с юмором и высокой долей оригинальности. SDLC был вообще популярной темой на конференции, правда не всегда это было на благо и в итоге было достаточно много «пустых» спонсорских докладов. Замыкал первый день конференции для меня немного скучный доклад «Основы Python для тестировщиков веб-приложений» от Джастина Сирла из InGuardians Inc. «Почему скучный?», — спросишь ты. Очень просто, сейчас уже мало кого можно удивить знанием Python, и он, имхо, уже перенимает звание языка номер один для пентестера у могущественного Perl'a. А коль ты пентестер веб-приложений и заинтересовался питоном, то библиотеки urllib/httplib ты уже наверняка расковырял и знаешь хорошо! Так что посвящать этому целый доклад немного странно. Лишь в конце доклада стало немного интереснее, когда Джастин презентовал свой проект pycit, который представляет собой набор шаблонов на питоне для веб-тестинга. Чтобы не писать каждый раз один и тот же код, ты можешь просто взять готовый шаблон, по-быстрому подправить его немного — и все готово. К сожалению, проект, судя по активности в SVN, подзаброшен.

Похожие статьи Меню Опрос Фото Популярное