In der Vergangenheit wurden viele verschiedene Angriffstechniken gegen Webanwendungen entwickelt, die heute weithin bekannt sind und vor denen Webentwickler ihre Software in der Regel schützen.
Die Mehrheit der Webhacking-Workshops und -Trainings behandelt solche Standardmethoden wie XSS, SQL Injections, XSRF usw. Dieser Workshop konzentriert sich dagegen auf fortgeschrittene Hacking-Techniken gegen Webapplikationen, etwa Object Deserialization, Cross-Origin Resource Sharing (CORS) oder andere HTML5-spezifische Angriffe. Dabei stehen nicht nur Server, sondern auch Clients im Fokus der Angriffe.
Agenda
- ab 08.30: Registrierung und Begrüßungskaffee
- 09.30: Beginn
- Blind & Client-side SQL Injections
- 11.00 - 11.15: Kaffeepause
- Object-Deserialization-Angriffe
- 12.30 - 13.30: Mittagspause
- Breaking Crypto – CBC, ECB
- 15.00 - 15.15: Kaffeepause
- Webservice-Angriffe
- ca. 17.00 Uhr: Ende
Technische Voraussetzungen
Für die Teilnahme an diesem Tutorium ist es sinnvoll, wenn folgendes vorhanden ist:
- Eine lauffähige Version der Kali64-Distribution (https://www.kali.org/downloads/). Dies kann entweder nativ, oder in einer VM erfolgen. Optional kann zusätzlich Java auf dem Hostsystem installiert werden. Dies ermöglicht die Nutzung des Burp-Proxies (https://www.portswigger.net) auch ausserhalb der VM (und ist daher meist angenehmer zu Nutzen).
- Sofern nicht ausschliesslich in einer VM gearbeitet werden möchte, muss sichergestellt sein, dass sich die Proxy-Einstellungen von mindestens einem der installierten Browser auf dem System ändern lassen.
- Sofern die VM-Variante gewählt wurde, muss sichergestellt sein, dass diese auch bootet. Geschäftsnotebooks hatten schon häufiger die Virtualisierungsfeatures der CPU im BIOS/EFI deaktiviert.
Falls Sie ein Gerät Ihrer Firma verwenden, überprüfen Sie vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei Ihnen auftreten könnte.
- Workshop-Teilnehmer hat keine Administrator-Rechte.
- Corporate Laptops mit übermäßig penibler Sicherheitssoftware
- Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden.
Vorkenntnisse
Vorausgesetzt wird ein gutes Verständnis
* allgemeiner Webtechnologien,
* aller OWASP-Top-10-Schwachstellen und
* mindestens einer Programmiersprache (z.B. Python, Perl, Ruby).
Lernziele
Die Teilnehmer lernen folgende Angriffstechniken kennen:
* Blind & Client-side SQL Injections
* Object-Deserialization-Angriffe
* Breaking Crypto – CBC, ECB ...
* Webservice-Angriffe
//
Kevin Schaller
ist IT Security Researcher & Analyst beim IT-Sicherheitsdienstleister ERNW und ein Penetrationstester mit umfassender Erfahrung in großen und sehr großen Unternehmensumgebungen. Als Teamleiter des "Mobile & IoT Security"-Teams leitet er vor allem Prüfprojekte mit Fokus auf mobilen Applikationen und Betriebssystemen, Mobile-Device-Management-Lösungen, IoT-Umgebungen sowie den gesamten Hardware und Embedded-Security-Bereich der ERNW. Er hält regelmäßig Talks auf verschiedenen Konferenzen sowie Kurse und Trainings bei denen er seine Erfahrungen und sein Know-how sehr gerne mit dem Publikum teilt. Seine Forschungsschwerpunkte liegen im Bereich der Sicherheit von Web- und mobilen Applikationen sowie im Bereich von biometrischen Authentifizierungsverfahren.
//
Timo Schmid
ist ein deutscher IT Security Researcher & Analyst mit weitreichenden Erfahrungen in großen und sehr großen Firmenumgebungen. Seine tägliche Arbeit beeinhaltet Evaluationen von IT-Sicherheitskonzepten, Codereviews und IT-Sicherheitstests von (Web-)Anwendungen und Infrastrukturen. Neben seiner Tätigkeit als Schulungsleiter führt er verschiedene Forschungs- und Entwicklungsprojekte im Bereich der Sicherheit von Applikationen jeglicher Art durch. Weiterhin ist er als Softwareentwickler verschiedener Werkzeuge zur Prozessoptimierung und Produktivitätssteigerung tätig.