Poor Man's Approach to Vulnerability Research

Im Bereich Softwareentwicklung gibt es viele Methoden und Tools, um die Sicherheit von Software zu erhöhen. Automatisierte Scans, spezifische Unit- oder Integration-Tests, Audits und Pentests gehören dazu. Die Qualität einer Sicherheitsanalyse hängt jedoch stark von den Fähigkeiten und der Expertise des Prüfers ab.

Dieser Vortrag soll einen Einblick in das individuelle Vorgehen bei der sogenannten Vulnerability Research geben – der Phase, in der ein Prüfer manuell Schwachstellen identifiziert. Das Vorgehen wird dabei an konkreten Schwachstellen verdeutlicht. Den Teilnehmern wird so eine Möglichkeit gegeben, diese Herangehensweise zu verstehen, um ihre eigene Testmethodik zu hinterfragen.

Vorkenntnisse

Grundlagen im Bereich Software Testing und Softwareentwicklung.

Lernziele


  • Einblick in Vulnerability Research erhalten (Vorgehen und Mindset)
  • Ansätze für die Verbesserung eigener Code-Audits identifizieren
  • Abgrenzung zu einem Pentest und klassischen Code-Scans verstehen

Speaker

 

Florian Grunow
Florian Grunow ist Geschäftsführer der ERNW GmbH in Heidelberg und leitet die Teams, die für Security Assessments zuständig sind. Er hat Medizinische Informatik und Software Engineering studiert und ist seit Jahren im Bereich Anwendungssicherheit tätig. Die Ergebnisse seiner Forschungsarbeit präsentiert er regelmäßig auf internationalen Konferenzen.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden