Web Village пройдет во второй день конференции — 13 ноября.

Доклады начнутся в 12:00 в зале “Спутник” клуба А2. Обратите внимание, что перевод докладов Web Village на английский не предусмотрен.

Алексей «GreenDog» Тюрин — “От мисконфига к суровым последствиям” [25 мин.]

Этот доклад — про подписанные куки (signed cookie) и все, что с ними связано.

Павел “sorokinpf” Сорокин (@sorokinpf) — GraphQL applications security testing automatization [25 мин.]

Расскажут об аспектах автоматизации безопасности приложений GraphQL: сканнинг всех параметров в SDL с тестированием контроля доступа Burp, поиск DoS-loops, обнаружение различных путей к критичным данным.

Валерий “krevetk0” Шевченко — “Принципы тестирования и баги которые проглядели остальные” [25 мин.]

Что знает обычный тестировщик чего не знает баг-хантер? Конечно, глубокого понимания работы приложения. А еще «хантер» может не знать о самих принципах тестирования. В этом докладе разберем принципы тестирования программного обеспечения и как они помогают в повседневной работе. Ну и конечно разберем на реальных примерах, когда эти принципы помогали находить критические проблемы различных компаний.

Алексей “SooLFaa” Морозов (@xSooLFaa) — “Blind SSRF” [25 мин.]

SSRF (Server-Side Request Forgery)  — это возможность передавать url, по которому перейдет уязвимый сервер. Злоумышленник может собирать данные о внутренней инфраструктуре и спланировать атаку с помощью RCE. Однако часто возникает ситуация, когда SSRF существует неявно или с рядом ограничений. В докладе описываются методы обнаружения и последующего использования BLIND SSRF в различных технологиях.

Антон “Bo0oM” Лопаницын (@i_bo0om) — “Охота на феникса” [25 мин.]

Community-доклад о деанонимизации фишеров с помощью уязвимостей в ПО, которыми они пользуются.

Рамазан «r0hack» Рамазанов — “Эксплуатация инъекций в ORM-библиотеках” [25 мин.]

Это доклад об интересном классе атак — инъекции в ORM-диалекты SQL, являющиеся грамматическим слоем абстракции между приложением и СУБД. Подробнее рассмотрим инъекции в диалекте Doctrine Query Language.

Сергей «BeLove» Белов (@sergeybelove) — «Будущее без паролей — про WebAuthN и не только» [25 мин.]

Наличие паролей у пользователей для современного сервиса — большая сложность. Фишинг, credentials stuffing, слабые пароли, антибрутфорс защита — все это головная боль любого отдела безопасности. Безопасная и массовая альтернатива только начинает поддерживаться современным вебом — стандартном WebAuthN. О всех проблемах отказа от паролей, как будут атаковать пользователей без паролей — в этом докладе.

Paul Axe (@Paul_Axe) — “ZN PWN Challenge” [25 мин.]

Увлекательная история о продолжении многолетних традиций.

Денис “ttffdd” Рыбин (@_ttffdd_) — “Аудитим зоопарк сервисов AWS” [45 мин.]

В докладе рассматриваются различные аспекты аудита AWS инфраструктур. Разберемся с многообразием предоставляемых сервисов, как строится их взаимодействие и как обеспечивается безопасность. Разбор вспомогательных инструментов и живых кейсов.

Андрей Пластунов — “ООП в mvc фреймворках. Как не сделать хуже, чем было” [25 мин.]

В докладе на примерах покажем как сломать дефолтные политики разграничения доступа в некоторых популярных MVC фреймворках с помощью неаккуратного использования парадигм ООП, в частности, наследования.

Время докладов можно посмотреть в программе конференции.