Java Security Sins

Dieser Workshop zeigt gibt einen Überblick über diverse Schwachstellen in Java -basierenden Applikationen die von Angreifern häufig zur aktiven Kompromittierung von solchen Anwendungen genutzt werden.

Themengebiete:

* Schwachstellen in Applikationsservern
* XML External Entity Schwachstellen (XXE)
* Path-Traversals/ZIP-Slips
* Server Side Request Forgery (SSRF)
* Java-Deserialisierung
* Expression Language Injection
* JNDI Injection
* JSON-Deserialisierung
* Angriffe auf andere Java-Dienste: RMI, JMX, Java Remote Debugging

Vorkenntnisse

* Die Teilnehmer sollten über gute Kenntnisse in der Programmiersprache Java verfügen.
* Bei der Durchführung der praktischen Beispiele sind ein Grundverständnis des HTTP-Protokolls sowie der Linux-Kommandozeile hilfreich.

Lernziele

Die einzelnen Schwachstellenarten und deren Ausnutzung werden von den Teilnehmern anhand praktischer Beispiele/Übungen nachvollzogen. Zudem werden mögliche Lösungsansätze besprochen.

 

Speaker

 

Hans-Martin Münch
Hans-Martin Münch ist Geschäftsführer der MOGWAI LABS GmbH, einem auf die Durchführung von technischen Security Audits und Penetrationstests spezialisierten Unternehmen. Er beschäftigt sich seit mehreren Jahren aktiv mit dem Thema "Offensive Java" und hat hierzu mehrere Blogeinträge unter https://mogwailabs.de/blog sowie diverse Tools veröffentlicht.

Timo Müller
Timo Müller arbeitet als Junior Security Analyst bei MOGWAI LABS wo er hauptsächlich Penetrationstests und Code-Reviews durchführt.

Gold-Sponsoren

WIBU Systems
Xanitizer

Silber-Sponsoren

Cologne Intelligence
Wings-Fernstudium

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden