Java Security Sins

Dieser Workshop zeigt gibt einen Überblick über diverse Schwachstellen in Java -basierenden Applikationen die von Angreifern häufig zur aktiven Kompromittierung von solchen Anwendungen genutzt werden.

Die einzelnen Schwachstellenarten und deren Ausnutzung werden von den Teilnehmern anhand praktischer Beispiele/Übungen nachvollzogen. Zudem werden mögliche Lösungsansätze besprochen.

Themengebiete:
* Schwachstellen in Applikationsservern
* XML External Entity (XXE) Schwachstellen
* Path-Traversals/ZIP-Slips
* Java-Deserialisierung
* Expression Language (EL) Injection
* Angriffe auf andere Java-Dienste: RMI, JMX, Java Remote Debugging

Technische Anforderungen:

Den Teilnehmer wird ein Lab in der Cloud eingerichtet, auf das sie per RDP zugreifen können. Sie sollten daher einen RDP Client sowie einen aktuellen Webbrowser auf ihrem System haben.
Alternativ wird die Lab-Umgebung als virtuelle Maschine bereitgestellt. Teilnehmer welche die Cloud-Umgebung nicht nutzen können/wollen, können optional auf ihrem eigenen System arbeiten. Für das Nutzen der virtuellen Maschine sollten die Teilnehmer über ein entsprechendes System verfügen:

* Virtualisierungs-Umgebung: VMWare oder VirtualBox
* RAM: 4 GB für VM
* Plattenplatz: 20 GB

Vorkenntnisse

* Die Teilnehmer sollten über gute Kenntnisse in der Programmiersprache Java verfügen.
* Bei der Durchführung der praktischen Beispiele sind ein Grundverständnis des HTTP-Protokolls sowie der Linux-Kommandozeile hilfreich.

Lernziele

Der Workshop schafft bei den Teilnehmern ein Bewusstsein für aktuelle Angriffsmethoden und -techniken auf Java-basierende Anwendungen. Die im Verlauf des Workshops erarbeiteten, praxisorientierten Lösungsansätze sollen den Teilnehmern bei der Absicherung von bestehenden Anwendungen helfen.

 

Referenten

 

Hans-Martin Münch Hans-Martin Münch ist Geschäftsführer der MOGWAI LABS GmbH, einem auf die Durchführung von technischen Security Audits und Penetrationstests spezialisierten Unternehmen. Er beschäftigt sich seit mehreren Jahren aktiv mit dem Thema „Offensive Java“ und hat hierzu unter anderem mehrere Blogeinträge unter https://mogwailabs.de/blog sowie diverse Tools veröffentlicht.

Timo Müller Timo Müller arbeitet als Junior Security Analyst bei MOGWAI LABS wo er hauptsächlich Penetrationstests und Code-Reviews durchführt.

Gold-Sponsoren

RIGS IT
WIBU Systems

Silber-Sponsor

RIPS Technologies

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden