Web Village пройдет во второй день конференции — 13 ноября.
Доклады начнутся в 12:00 в зале “Спутник” клуба А2. Обратите внимание, что перевод докладов Web Village на английский не предусмотрен.
Алексей «GreenDog» Тюрин — “От мисконфига к суровым последствиям” [25 мин.]
Этот доклад — про подписанные куки (signed cookie) и все, что с ними связано.
Павел “sorokinpf” Сорокин (@sorokinpf) — GraphQL applications security testing automatization [25 мин.]
Расскажут об аспектах автоматизации безопасности приложений GraphQL: сканнинг всех параметров в SDL с тестированием контроля доступа Burp, поиск DoS-loops, обнаружение различных путей к критичным данным.
Валерий “krevetk0” Шевченко — “Принципы тестирования и баги которые проглядели остальные” [25 мин.]
Что знает обычный тестировщик чего не знает баг-хантер? Конечно, глубокого понимания работы приложения. А еще «хантер» может не знать о самих принципах тестирования. В этом докладе разберем принципы тестирования программного обеспечения и как они помогают в повседневной работе. Ну и конечно разберем на реальных примерах, когда эти принципы помогали находить критические проблемы различных компаний.
Алексей “SooLFaa” Морозов (@xSooLFaa) — “Blind SSRF” [25 мин.]
SSRF (Server-Side Request Forgery) — это возможность передавать url, по которому перейдет уязвимый сервер. Злоумышленник может собирать данные о внутренней инфраструктуре и спланировать атаку с помощью RCE. Однако часто возникает ситуация, когда SSRF существует неявно или с рядом ограничений. В докладе описываются методы обнаружения и последующего использования BLIND SSRF в различных технологиях.
Антон “Bo0oM” Лопаницын (@i_bo0om) — “Охота на феникса” [25 мин.]
Community-доклад о деанонимизации фишеров с помощью уязвимостей в ПО, которыми они пользуются.
Рамазан «r0hack» Рамазанов — “Эксплуатация инъекций в ORM-библиотеках” [25 мин.]
Это доклад об интересном классе атак — инъекции в ORM-диалекты SQL, являющиеся грамматическим слоем абстракции между приложением и СУБД. Подробнее рассмотрим инъекции в диалекте Doctrine Query Language.
Сергей «BeLove» Белов (@sergeybelove) — «Будущее без паролей — про WebAuthN и не только» [25 мин.]
Наличие паролей у пользователей для современного сервиса — большая сложность. Фишинг, credentials stuffing, слабые пароли, антибрутфорс защита — все это головная боль любого отдела безопасности. Безопасная и массовая альтернатива только начинает поддерживаться современным вебом — стандартном WebAuthN. О всех проблемах отказа от паролей, как будут атаковать пользователей без паролей — в этом докладе.
Paul Axe (@Paul_Axe) — “ZN PWN Challenge” [25 мин.]
Увлекательная история о продолжении многолетних традиций.
Денис “ttffdd” Рыбин (@_ttffdd_) — “Аудитим зоопарк сервисов AWS” [45 мин.]
В докладе рассматриваются различные аспекты аудита AWS инфраструктур. Разберемся с многообразием предоставляемых сервисов, как строится их взаимодействие и как обеспечивается безопасность. Разбор вспомогательных инструментов и живых кейсов.
Андрей Пластунов — “ООП в mvc фреймворках. Как не сделать хуже, чем было” [25 мин.]
В докладе на примерах покажем как сломать дефолтные политики разграничения доступа в некоторых популярных MVC фреймворках с помощью неаккуратного использования парадигм ООП, в частности, наследования.
Время докладов можно посмотреть в программе конференции.