10. OWASP Poland Meetup (Warsaw + Online)

Serdecznie zapraszam na kolejne spotkanie OWASP, które odbędzie się 18 listopada 2021. Tym razem działamy hybrydowo. Dzięki zaproszeniu Goldman Sachs, spotkanie odbędzie się fizycznie w Warszawie w budunku Warsaw Spire. Z uwagi na pandemię w spotkaniu będzie mogło wziąć udział jedynie 30 osób (dodatkowo aby wejść na spotkanie będzie również wymagane okazanie certyfikatu potwierdzającego przyjęcie dwóch dawek szczepienia oraz okazanie dokumentu potwierdzającego tożsamość). Dlatego równolegle będzie realizowana transmisja on-line bez limitów miejsc (link do spotkania Zoom zostanie opublikowany przed spotkaniem).

Z uwagi na ograniczoną liczbę miejsc ogromna prośba o rejestrowanie się przy 100% pewności możliwości wzięcia udziału w spotkaniu, tak by nie blokować miejsc. Również jeśli po rejestracji okaże się, że przybycie nie będzie możliwe, bardzo proszę o wyrejestrowanie się, by mogły skorzystać osoby z listy rezerwowej.

Agenda spotkania:

18:00 – 18:05 – Powitanie i otwarcie spotkania, Daniel Krasnokucki

18:05 – 18:50 – "Discovery and exploitation of CSRF to RCE in CloverDX Server - CVE", Patryk Bogusz

Prezentacja opisywać będzie proces znalezienia i wykorzystania podatności CSRF w CloverDX Serverze, która ostatecznie prowadzi do zdalnego wykonania kodu na serwerze. W trakcie prezentacji przejdę od podstaw, czyli opisu czym jest CSRF, poprzez crackowanie generatora liczb pseudolosowych, aż do samej exploitacji CSRF prowadzącej do zdalnego wykonania kodu.

Patryk Bogusz - Pentester w Goldman Sachs, na codzień zajmuje sie testowaniem bezpieczenstwa aplikacji i infrastruktury chmurowej. W wolnym czasie amatorsko trenuje boks tajski w Sparta Gym Warszawa.

18:50 – 19:35 – "Feedback loop in DevSecOps - mature security process and dev cooperation", Daniel Krasnokucki

Having Security testing in the pipeline is getting more and more popular, I would say it is becoming a standard! But what we are doing with findings? What are we automating and how are using the automation?

The presentation will cover security-as-a-code practices to integrate security testing into the CI and CD pipelines, but in addition - I will discuss the part of the testing that cannot be automated, which is penetration testing. How do you connect it with your automation testing and what is the role of penetration testing in monitoring? I will show how it affects next round of the process and what the process should look like.

During the presentation I will discuss real use cases from different pipelines and security tools, showing pros and cons, advantages and challenges. Demo will include GitHub Actions and open-source tools like OWASP ZAP and examples will be provided with pipeline-as-a-code and security-as-a-code. Real life use cases and examples with step-by-step instruction how the development process in mature state of DevSecOps should look like.

Daniel Krasnokucki - Security freak, pentester, programmer, and day-to-day also a manager of Product Security team @ Equinix. Leader of OWASP Poland with a strong focus on building security controls and improving different areas in a very techy company. Privately likes board games, football (soccer) and loves skiing!

19:35 – 20:00 – Discussions