2. OWASP Poland Meetup Online

Zapraszamy na drugie spotkanie online organizowane przez OWASP Poland.

Naszym prelegentem będzie Paweł Maziarz, APT Mastercclass Lead Trainer. Paweł jako ekspert i architekt systemów bezpieczeństwa zdobywał doświadczenie przez ostatnie 20 lat, początkowo jako administrator sieci i systemów Unix/Linux, następnie jako programista, a później pentester i architekt bezpieczeństwa systemów IT. W trakcie kilku ostatnich lat przeprowadzał zaawansowane symulacje ataków klasy Advanced Persistent Threat (APT), tworzył publicznie niedostępne oprogramowanie symulujące złożony malware, pomagając tym samym podnieść poziom cyberbezpieczeństwa firm na całym świecie (w tym Polska, Szwajcaria, Irlandia, Azerbejdżan, Chorwacja, Łotwa, Rumunia). Specjalizuje się również w atakach socjotechnicznych oraz bezpieczeństwie fizycznym (karty zbliżeniowe, systemy kontroli dostępu etc). Najwyżej oceniany prelegent na istotnych konferencjach branżowych (Confidence, What The H@ck, Techrisk) oraz w czołówce wielu innych (m.in. Semafor, PLNOG, BSides Warsaw). Powadził zajęcia na Politechnice Wrocławskiej na kursach ,,Security in cloud computing’’ oraz ,,System security’'. Był jedną z kluczowych postaci rozwijających dział red-team w jednej z firm wielkiej czwórki i jednym ze współzałożycieli firmy Immunity Systems. Aktualnie jest założycielem spółki Alphasec i twórcą autorskich szkoleń znanych pod marką APT Masterclass.

Tytuł prezentacji: Podatności aplikacji webowych w kontekście ataków klasy APT (Advaned Persistent Threat)

Skutki wykorzystania podatności aplikacji WWW przeważnie kojarzą się z wyciekiem baz danych i w konsekwencji karami RODO. Druga strona medalu, to odnajdując podatności w aplikacjach dużych graczy można otrzymać bugbounty. Jednak podatności aplikacji webowych chętnie zostaną wykorzystane przez zmotywowanych cyberprzestępców i grup APT podczas przeprowadzania celowanych ataków na organizacje.

Podczas naszej przygody, przejdziemy przez specjalnie przygotowane aplikacje WWW fikcyjnej firmy, które zawierając mniej lub rzadziej, jednak realnie spotykane podatności, w rękach doświadczonego agresora będą wystarczające do przeprowadzenia zaawansowanego, celowanego ataku na organizację.