JUG Łódź Warsztat

Wydarzenie:

JUG Łódź Warsztat

Typ wydarzenia:

Warsztaty

Kategoria:

Tematyka:

programowanie , Java

Data:

13.10.2018 (sobota)

Godzina:

10:00

Język:

polski

Wstęp:

Bezpłatne

Miasto:

Łódź

Miejsce:

IDEMIA

Adres:

Jaracza 62

Zgłoś zmiany w wydarzeniu

Zaloguj się, by zgłosić zmianę.

Prelegenci:

Sebastian Chmielewski

Opis:

PROWADZI: Sebastian Chmielewski

Instrukcja przygotowania:

- sciągnać i zaimportować do VirtualBox 2 obrazy maszyn wirtualnych:

a) Kali Linux: https://images.offensive-security.com/virtual-images/kali-linux-2018.2-vbox-amd64.ova

b) aplikacja testowa: https://drive.google.com/open?id=1tHoGLeWkg2NCt5Uq3e9nsTMXoXktlsFn

Na warsztacie pokazuję jak przetestować aplikację Java wykorzystującą usługi REST pod kątem najpoważniejszych podatności na jakie natrafiam wykonując pentesty współczesnych aplikacji Java. Przejdziemy przez metodykę testowania od rekonensansu przez wykrywanie i potwierdzenie do wykorzystania ("exploitacji") podatności.

Pokazane będą przykłady podatności:

insecure configuration
improper error handling
Server Side Request Forgery
Spring Expression Language Injection
SQL (ORM) Injection dla Hibernate
XXE (eXternal Entity Expansion) przy przetwarzaniu XML
JSON Deserialization vulnerability (zdalne wykonanie kodu w aplikacji z wykorzystaniem JSON-a)

Wykorzystywane narzędzie to darmowy OWASP ZAP oraz maszyny wirtualne Kali z

narzędziami oraz maszyna wirtualna z testową aplikacją (Spring Boot) uruchomioną w formie kontenerów Docker ("Dziurawy sklep").

Czas trwania: 3h