Möchten Sie mit Ihrem Team teilnehmen? Profitieren Sie von unseren Gruppenrabatten! Schreiben Sie an events@dpunkt.de

Java Security Sins

Dieser Workshop zeigt gibt einen Überblick über diverse Schwachstellen in Java -basierenden Applikationen die von Angreifern häufig zur aktiven Kompromittierung von solchen Anwendungen genutzt werden.

Themengebiete:

* Schwachstellen in Applikationsservern
* XML External Entity Schwachstellen (XXE)
* Path-Traversals/ZIP-Slips
* Server Side Request Forgery (SSRF)
* Java-Deserialisierung
* Expression Language Injection
* JNDI Injection
* JSON-Deserialisierung
* Angriffe auf andere Java-Dienste: RMI, JMX, Java Remote Debugging

Vorkenntnisse

* Die Teilnehmer sollten über gute Kenntnisse in der Programmiersprache Java verfügen.
* Bei der Durchführung der praktischen Beispiele sind ein Grundverständnis des HTTP-Protokolls sowie der Linux-Kommandozeile hilfreich.

Lernziele

Die einzelnen Schwachstellenarten und deren Ausnutzung werden von den Teilnehmern anhand praktischer Beispiele/Übungen nachvollzogen. Zudem werden mögliche Lösungsansätze besprochen.

 

Agenda

11:00 - 11:20 Uhr Einleitung
11:20 - 12:15 Uhr Typische Schwachstellen in Applikationsservern
12:15 - 13:15 Uhr Mittagspause
13:15 - 14:00 Uhr XXE Schwachstellen
14:00 - 14:45 Uhr ZIP Slips / Server Side Request Forgery (SSRF)
14:45 - 15:00 Uhr Pause
15:00 - 16:30 Uhr Java Deserialisierungsschwachstellen
16:30 - 16:45 Uhr Pause
16:45 - 17:45 Uhr JNDI Injection und JSON Deserialisierung
17:45 - 18:15 Uhr Schwachstellen in gängigen ava Diensten (JMX, JDWP, RMI)

 

Technische Anforderungen:


Alle Teilnehmer erhalten Zugang zu einer virtuelle Workshop-Umgebung, hierzu wird nur ein aktueller Browser benötigt.
Alternativ ist der Download einer Virtuellen Maschine möglich, diese wird im OVF Format bereitgestellt, der Betrieb mitteilen
VMWare oder VirtualBox sollte kein Problem darstellen.

Für die virtuelle Maschine gelten die folgenden Vorraussetzungen:
Mindestens 4 GB RAM
Mindestens 20 GB Festplatte

Die virtuelle Maschine kann ca. 18 Stunden vor dem eigentlichen Workshop von der folgenden Seite heruntergeladen werden. Dort findet
sich auch ein ZIP-Archiv mit den Sourcen/Beispielen die im Workshop behandelt werden:
https://mogwailabs.de/de/devsec2020/

WICHTIG:
Auf der Seite finden Sie auch ein PDF-Dokument, welche die Anleitungen/Befehle für die einzelnen Übungen enthält. Wir empfehlen diese Auszudrucken,
hierdurch ersparen Sie sich ein Wechseln zwischen ihrer Workshop Umgebung und den Folien.

Teilnehmer, welche die virtuelle Workshop-Umgebung nutzen wollen bitten wir, mindestens 30 Minuten vor dem Start des Workshops online zu sein.
Sie erhalten dann die Zugangsdaten für ihre Umgebung per Chat.

Speaker

 

Hans-Martin Münch
Hans-Martin Münch ist Geschäftsführer der MOGWAI LABS GmbH, einem auf die Durchführung von technischen Security Audits und Penetrationstests spezialisierten Unternehmen. Er beschäftigt sich seit mehreren Jahren aktiv mit dem Thema "Offensive Java" und hat hierzu mehrere Blogeinträge unter https://mogwailabs.de/blog sowie diverse Tools veröffentlicht.

Timo Müller
Timo Müller arbeitet als Junior Security Analyst bei MOGWAI LABS wo er hauptsächlich Penetrationstests und Code-Reviews durchführt.

Sponsoren

Gold
JFrog
Palo Alto Networks
Snyk
WIBU Systems
Xanitizer

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden