Möchten Sie mit Ihrem Team teilnehmen? Ab drei Personen profitieren Sie von unseren Gruppenrabatten! Direkt im Shop buchen!

WebApp Special Ops – fortgeschrittene Angriffstechniken gegen Webapplikationen (Di., 24.10.)

In der Vergangenheit wurden viele verschiedene Angriffstechniken gegen Webanwendungen entwickelt, die heute weithin bekannt sind und vor denen Webentwickler ihre Software in der Regel schützen.

Die Mehrheit der Webhacking-Workshops und -Trainings behandelt solche Standardmethoden wie XSS, SQL Injections, XSRF usw. Dieser Workshop konzentriert sich dagegen auf fortgeschrittene Hacking-Techniken gegen Webapplikationen, etwa Object Deserialization, Cross-Origin Resource Sharing (CORS) oder andere HTML5-spezifische Angriffe. Dabei stehen nicht nur Server, sondern auch Clients im Fokus der Angriffe.

Agenda

  • ab 08.30: Registrierung und Begrüßungskaffee

  • 09.30: Beginn


    • Blind & Client-side SQL Injections


  • 11.00 - 11.15: Kaffeepause


    • Object-Deserialization-Angriffe


  • 12.30 - 13.30: Mittagspause


    • Breaking Crypto – CBC, ECB


  • 15.00 - 15.15: Kaffeepause


    • Webservice-Angriffe


  • ca. 17.00 Uhr: Ende



Technische Voraussetzungen

Für die Teilnahme an diesem Tutorium ist es sinnvoll, wenn folgendes vorhanden ist:

  • Eine lauffähige Version der Kali64-Distribution (https://www.kali.org/downloads/). Dies kann entweder nativ, oder in einer VM erfolgen. Optional kann zusätzlich Java auf dem Hostsystem installiert werden. Dies ermöglicht die Nutzung des Burp-Proxies (https://www.portswigger.net) auch ausserhalb der VM (und ist daher meist angenehmer zu Nutzen).

  • Sofern nicht ausschliesslich in einer VM gearbeitet werden möchte, muss sichergestellt sein, dass sich die Proxy-Einstellungen von mindestens einem der installierten Browser auf dem System ändern lassen.

  • Sofern die VM-Variante gewählt wurde, muss sichergestellt sein, dass diese auch bootet. Geschäftsnotebooks hatten schon häufiger die Virtualisierungsfeatures der CPU im BIOS/EFI deaktiviert.


Falls Sie ein Gerät Ihrer Firma verwenden, überprüfen Sie vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei Ihnen auftreten könnte.
- Workshop-Teilnehmer hat keine Administrator-Rechte.
- Corporate Laptops mit übermäßig penibler Sicherheitssoftware
- Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden.

Vorkenntnisse

Vorausgesetzt wird ein gutes Verständnis

* allgemeiner Webtechnologien,
* aller OWASP-Top-10-Schwachstellen und
* mindestens einer Programmiersprache (z.B. Python, Perl, Ruby).

Lernziele

Die Teilnehmer lernen folgende Angriffstechniken kennen:

* Blind & Client-side SQL Injections
* Object-Deserialization-Angriffe
* Breaking Crypto – CBC, ECB ...
* Webservice-Angriffe

Technische Anforderungen

> 2) Wir möchten noch Ihre technischen Voraussetzungen und die der Teilnehmer klären. Was benötigen Sie neben der Standardausstattung wie Beamer, Leinwand und Flipchart?
Es muss sichergestellt sein das die Teilnehmer unsere Rechner erreichen können. Dh. wenn sich diese im WLAN befinden, muss ein Zugriff auf die Rechner im LAN möglich sein. Teilnehmer zu Teilnehmer ist nicht notwendig.

> 3) Was benötigen die Teilnehmer?
Eine lauffähige Version der Kali64-Distribution (https://www.kali.org/downloads/). Dies kann entweder nativ, oder in einer VM erfolgen. Optional kann zusätzlich Java auf dem Hostsystem installiert werden. Dies ermöglicht die Nutzung des Burp-Proxies (https://www.portswigger.net) auch ausserhalb der VM (und ist daher meist angenehmer zu Nutzen).

> 4) Welche Hinweise sollen wir den Teilnehmern im Vorfeld geben?
- Sofern nicht ausschliesslich in einer VM gearbeitet werden möchte, muss sichergestellt sein, dass sich die Proxy-Einstellungen von mindestens einem der installierten Browser auf dem System ändern lassen.
- Sofern die VM-Variante gewählt wurde, muss sichergestellt sein, dass diese auch bootet. Geschäftsnotebooks hatten schon häufiger die Virtualisierungsfeatures der CPU im BIOS/EFI deaktiviert.

Speaker

 

Kevin Schaller
Kevin Schaller ist IT Security Researcher & Analyst beim IT-Sicherheitsdienstleister ERNW und ein Penetrationstester mit umfassender Erfahrung in großen und sehr großen Unternehmensumgebungen. Als Teamleiter des "Mobile & IoT Security"-Teams leitet er vor allem Prüfprojekte mit Fokus auf mobilen Applikationen und Betriebssystemen, Mobile-Device-Management-Lösungen, IoT-Umgebungen sowie den gesamten Hardware und Embedded-Security-Bereich der ERNW. Er hält regelmäßig Talks auf verschiedenen Konferenzen sowie Kurse und Trainings bei denen er seine Erfahrungen und sein Know-how sehr gerne mit dem Publikum teilt. Seine Forschungsschwerpunkte liegen im Bereich der Sicherheit von Web- und mobilen Applikationen sowie im Bereich von biometrischen Authentifizierungsverfahren.

Timo Schmid
Timo Schmid ist ein deutscher IT Security Researcher & Analyst mit weitreichenden Erfahrungen in großen und sehr großen Firmenumgebungen. Seine tägliche Arbeit beeinhaltet Evaluationen von IT-Sicherheitskonzepten, Codereviews und IT-Sicherheitstests von (Web-)Anwendungen und Infrastrukturen. Neben seiner Tätigkeit als Schulungsleiter führt er verschiedene Forschungs- und Entwicklungsprojekte im Bereich der Sicherheit von Applikationen jeglicher Art durch. Weiterhin ist er als Softwareentwickler verschiedener Werkzeuge zur Prozessoptimierung und Produktivitätssteigerung tätig.

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden