Die Konferenz für
sichere Software- und Webentwicklung
Heidelberg, Print Media Academy, 16.-18. Oktober 2018

heise devSec 2018 » Programm »

// WebApp Special Ops – fortgeschrittene Angriffstechniken gegen Webapplikationen (Di., 24.10.)

In der Vergangenheit wurden viele verschiedene Angriffstechniken gegen Webanwendungen entwickelt, die heute weithin bekannt sind und vor denen Webentwickler ihre Software in der Regel schützen.

Die Mehrheit der Webhacking-Workshops und -Trainings behandelt solche Standardmethoden wie XSS, SQL Injections, XSRF usw. Dieser Workshop konzentriert sich dagegen auf fortgeschrittene Hacking-Techniken gegen Webapplikationen, etwa Object Deserialization, Cross-Origin Resource Sharing (CORS) oder andere HTML5-spezifische Angriffe. Dabei stehen nicht nur Server, sondern auch Clients im Fokus der Angriffe.

Agenda


  • ab 08.30: Registrierung und Begrüßungskaffee

  • 09.30: Beginn


    • Blind & Client-side SQL Injections


  • 11.00 - 11.15: Kaffeepause


    • Object-Deserialization-Angriffe


  • 12.30 - 13.30: Mittagspause


    • Breaking Crypto – CBC, ECB


  • 15.00 - 15.15: Kaffeepause


    • Webservice-Angriffe


  • ca. 17.00 Uhr: Ende



Technische Voraussetzungen

Für die Teilnahme an diesem Tutorium ist es sinnvoll, wenn folgendes vorhanden ist:

  • Eine lauffähige Version der Kali64-Distribution (https://www.kali.org/downloads/). Dies kann entweder nativ, oder in einer VM erfolgen. Optional kann zusätzlich Java auf dem Hostsystem installiert werden. Dies ermöglicht die Nutzung des Burp-Proxies (https://www.portswigger.net) auch ausserhalb der VM (und ist daher meist angenehmer zu Nutzen).

  • Sofern nicht ausschliesslich in einer VM gearbeitet werden möchte, muss sichergestellt sein, dass sich die Proxy-Einstellungen von mindestens einem der installierten Browser auf dem System ändern lassen.

  • Sofern die VM-Variante gewählt wurde, muss sichergestellt sein, dass diese auch bootet. Geschäftsnotebooks hatten schon häufiger die Virtualisierungsfeatures der CPU im BIOS/EFI deaktiviert.


Falls Sie ein Gerät Ihrer Firma verwenden, überprüfen Sie vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei Ihnen auftreten könnte.
- Workshop-Teilnehmer hat keine Administrator-Rechte.
- Corporate Laptops mit übermäßig penibler Sicherheitssoftware
- Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden.

Vorkenntnisse
Vorausgesetzt wird ein gutes Verständnis

* allgemeiner Webtechnologien,
* aller OWASP-Top-10-Schwachstellen und
* mindestens einer Programmiersprache (z.B. Python, Perl, Ruby).

Lernziele
Die Teilnehmer lernen folgende Angriffstechniken kennen:

* Blind & Client-side SQL Injections
* Object-Deserialization-Angriffe
* Breaking Crypto – CBC, ECB ...
* Webservice-Angriffe

// Kevin Schaller Kevin Schaller

ist IT Security Researcher & Analyst beim IT-Sicherheitsdienstleister ERNW und ein Penetrationstester mit umfassender Erfahrung in großen und sehr großen Unternehmensumgebungen. Als Teamleiter des "Mobile & IoT Security"-Teams leitet er vor allem Prüfprojekte mit Fokus auf mobilen Applikationen und Betriebssystemen, Mobile-Device-Management-Lösungen, IoT-Umgebungen sowie den gesamten Hardware und Embedded-Security-Bereich der ERNW. Er hält regelmäßig Talks auf verschiedenen Konferenzen sowie Kurse und Trainings bei denen er seine Erfahrungen und sein Know-how sehr gerne mit dem Publikum teilt. Seine Forschungsschwerpunkte liegen im Bereich der Sicherheit von Web- und mobilen Applikationen sowie im Bereich von biometrischen Authentifizierungsverfahren.


// Timo Schmid Timo Schmid

ist ein deutscher IT Security Researcher & Analyst mit weitreichenden Erfahrungen in großen und sehr großen Firmenumgebungen. Seine tägliche Arbeit beeinhaltet Evaluationen von IT-Sicherheitskonzepten, Codereviews und IT-Sicherheitstests von (Web-)Anwendungen und Infrastrukturen. Neben seiner Tätigkeit als Schulungsleiter führt er verschiedene Forschungs- und Entwicklungsprojekte im Bereich der Sicherheit von Applikationen jeglicher Art durch. Weiterhin ist er als Softwareentwickler verschiedener Werkzeuge zur Prozessoptimierung und Produktivitätssteigerung tätig.