9. OWASP Poland Meetup Online

Serdecznie zapraszam na kolejne zdalne spotkanie OWASP, które odbędzie się 28 kwietnia 2021. Tym razem dwa razy więcej prezentacji niż zwykle. Wszystko dzięki zaangażowaniu ekspertów z Goldman Sachs, których wystąpienia wypełnią całe spotkanie.

18:00 – 18:05 – Powitanie i otwarcie spotkania, Daniel Krasnokucki, Michał Kurek

18:05 – 18:50 – "PKI Model of Trust: what can go wrong and how to protect?”, Krzysztof Katowicz-Kowalewski

Prezentacja opisywać będzie obecny model zaufania wykorzystywany do uwierzytelniania stron w Internecie. Od podstaw przejdziemy do bardziej złożonych tematów i odpowiemy sobie na pytanie co możemy zrobić jeśli w naszym modelu zagrożeń uwzględniamy złośliwe lub skompromitowane CA.

Krzysztof Katowicz-Kowalewski - Security Architect w Goldman Sachs, na codzień zajmuje się oceną desingu projektowanych rozwiązań. Związany mocno z tematami implementacyjnymi i technikami automatyzacji (w tym testów bezpieczeństwa). W wolnych chwilach uczestnik zawodów CTF.

18:50 – 19:05 – "Apollo GraphQL Caching 1on1", Patryk Bogusz

Prezentacja skupiać się bedzie na opisie mechanizmów cache'owania w Apollo Client i Apollo Server popularnych implementacjach GraphQL. W trakcie prezentacji przedstawione zostaną błędy konfiguracji i implementacji mechanizmów cache'owania po stronie klienta i serwer'a, które mogą dobrowadzić do wycieków danych zarówno po stronie klienta, jak i serwera.

Patryk Bogusz - Pentester w Goldman Sachs, na codzień zajmuje sie testowaniem bezpieczenstwa aplikacji i infrastruktury chmurowej. W wolnym czasie amatorsko trenuje boks tajski w Sparta Gym Warszawa.

19:05 – 19:20 – "HTTP/3 + QUIC - nowe protokoły = nowe możliwości i wyzwania dla bezpieczeństwa", Jakub Botwicz

Podczas prezentacji zostaną przedstawione informacje na temat nowych protokołów HTTP/3 i QUIC w porównaniu do obecnie używanych rozwiązań. Zostaną również omówione usprawnienia, jakie te protokoły wnoszą oraz wyzwania z jakimi powinniśmy się zmierzyć, aby przygotować się na ich użycie.

Jakub Botwicz - pracuje w zespole Security Research w Goldman Sachs. Zajmuje się tematyką cyberbezpieczeństwa od kilkunastu lat - autor Cotopaxi (zestawu narzędzi do testów IoT) oraz "odkrywca" ponad 50 podatności (CVE) w publicznych komponentach. W wolnym czasie miłośnik wszelkich aktywności związanych z górami - szczególnie wspinaczki skałkowej i paralotniarstwa.

19:20 – 19:35 – "Edge cases of cross-origin HTTP interactions", Jacek Kołodziej

Prezentacja zarysuje interakcje miedzy różnymi zabezpieczeniami przed interakcjami 'cross-origin'. Opowiem o mniej znanych sytuacjach brzegowych w zabezpieczeniach przed atakami CSRF (np. sameSite=Lax w sieciach korporacyjnych vs. Access-Control-Allow-Origin, reguła 2 minut) a takze wpomnę o sposobach nadużywania mechanizmów zabezpieczeń (np. CSP).

Jacek Kołodziej - Pentester w Goldman Sachs, zajmuje się testowaniem bezpieczeństwa aplikacji i infrastruktury. W wolnym czasie szuka odrobiny wolnego czasu.