Security Testing Marathon – это возможность за пять вечеров получить обзорные знания по ключевым направлениям тестирования безопасности web и мобильных приложений, анализу кода и поиску уязвимостей, а также собственными руками препарировать образцы вредоносных программ.

Марафон рассчитан на программистов и тестировщиков, которые понимают значение информационной безопасности и хотят делать качественные, надежные продукты.

И обязательно берите с собой ноутбуки – ПРАКТИКА КАЖДЫЙ ДЕНЬ!

• 27 марта, 19:00 - 22:00

Безопасность web приложений
Вместо вступления: что является предметом тестирования безопасности. Кто такие White hat hackers. Основные разделы тестирования безопасности
Основные уязвимости OWASP TOP-10
Инструментальные средства поиска и эксплуатации:
— BurpSuite, ZAP
— sqlmap
— BeEF

• 28 марта, 19:00 - 22:00

Специальные разделы безопасности веб приложений
Ошибки при реализации криптогрфических элементов:
— PRNG state recovery на примере LCG, MT19937 (восстановление пароля администратора, CSRF токенов и др.)
— Эксплуатация проблемы сравнения PHP
— Padding oracle атаки
— Hash length extension
Методы противодействия фильтрации и WAF (web application firewall) при эксплуатации SQLi и XSS

• 29 марта, 19:00 - 22:00

Анализ мобильных приложений
Обзор методов анализа Android и iOS:
— Инструменты динамического и статического анализа
— Методы инструментирования на базе FRIDA
Примеры анализа образцов вредоносного программного обеспечения для платформ

• 30 марта, 19:00 - 22:00

Анализ бинарного кода и вредоносного программного обеспечения
Инструменты анализа:
— IDA Pro
— ImmDbg, x64dbg
— Hiew
Пример анализа образцов вредоносного ПО

• 31 марта, 19:00 - 22:00

Анализ бинарных уязвимостей
Эксплуатация переполнения буфера, обзор и практические примеры:
— Переполнение стека
— Методы защиты и противодействия NX, SSP
— Переполнение кучи
— Методы противодействия ASLR
— уязвимости форматной строки (formatstring)

Отличия эксплуатации уязвимостей приложений для архитектур x86 и ARM, Windows/Linux

СПИКЕР МАРАФОНА

Николай Ильин

Если учиться – то только у лучших в мире! Всю марафонскую дистанцию вашим тренером будет технический директор компании KievInfoSecurity, основатель и капитан команды dcua, которая по итогам 2016 года стала победителем в рейтинге CTFtime (общемировой рейтинг команд, участвующихв соревнованиях по информационной безопасности).

Помимо практической работы по техническому аудиту и исследований систем защиты, Николай преподает на кафедре информационной безопасности Физико-технического института НТУУ «КПИ». Поэтому умеет рассказать об очень сложных вещах так, чтобы это было интересно профессионалам с большим опытом работы, но при этом понятно тем, кто пока не имеет глубоких знаний в области information security.

Читайте интервью с Николаем Ильиным на ain.ua — «Как украинские «белые хакеры» стали лучшими в мире — интервью с капитаном команды DCUA Николаем Ильиным»