Styczniowe spotkania OWASP Polska (Kraków/Warszawa)

Nowy rok w ramach spotkań OWASP Polska powitamy już 20 stycznia w Krakowie. Tak jak poprzednio, spotkanie jest zorganizowane wspólnie z ISSA Polska.

Agenda spotkania:

18:15 - 18:25 OWASP News  - Przemysław Skowron
18:30 - 19:10 Zaawansowany data mining - Jakub Kałużny

Jakub przedstawi temat parsowania stron WWW - po co parsować strony www, do czego przydają się takie dane z biznesowego punktu widzenia. Omówione zostaną metody parsowania stron, oraz sposoby obrony przed nimi. Przejdziemy od prostych crawlerów, którym przeciwstawia się losowością identyfikatora kolejnej strony aż do łamania CAPTCHA, czy analizy i reverse-engineering'u kodu JavaScript służącego do ładownia treści na stronę. Pojawi się wiele przykładów wykorzystujących wymienione techniki.

19:15 - 20:00 OWASP ASVS - panel dyskusyjny - Wojciech Dworakowski

Proponujemy dyskusję na temat OWASP ASVS (Application Security Verification Standard) (http://www.owasp.org/index.php/OWASP_Application_Security_Verification_Standard_%28ASVS%29). W części wstępnej Wojtek przedstawi krótko ASVS oraz podzieli się swoimi wrażeniami z wykorzystania ASVS przy prowadzeniu testów penetracyjnych/przeglądzie kodu. Wszystkich którzy mają choćby minimalne doświadczenie z ASVS zapraszamy do dyskusji na temat przyszłości tego standardu oraz zmian jakie można by do niego wprowadzić.

Gdzie i kiedy?

Spotykamy się 20 stycznia 2011 o godzinie 18:15 w Krakowie, na Wydziale Fizyki i Informatyki Stosowanej AGH, na ul. Reymonta 19, w budynku D-10 w sali A.

Kolejne spotkanie odbędzie się w Warszawie, 27 stycznia 2011 i będzie to pierwsze spotkanie w stolicy!

Agenda spotkania:

18:00 - 18:40 - OWASP - Bieżące sprawy i plan działania w Warszawie - Przemysław Skowron, OWASP Leader, Alior Bank
18:45 - 19:20 - Podatność Cross-Site Scripting - czy można ją ignorować? - Michał Kurek, Ernst &Young
19:25 - 20:00 - Phishing -Tomasz Sawiak, Safe Computing

Podatność Cross-Site Scripting - czy można ją ignorować? - Michał Kurek

Michał jest Menedżerem w Dziale Zarządzania Ryzykiem Informatycznym w Ernst & Young odpowiedzialnym za usługi związane z bezpieczeństwem systemów informatycznych. Specjalizuje się w bezpieczeństwie sieciowym oraz testach penetracyjnych - w szczególności w analizie bezpieczeństwa aplikacji internetowych.

Abstrakt

Podatność Cross-Site Scripting jest bardzo często ignorowana z uwagi na brak świadomości odnośnie rzeczywistych zagrożeń z jakimi się wiąże. Podczas prezentacji omówione zostaną zaawansowane techniki wykorzystania tej podatności prowadzące m.in. do przejęcia kontroli nad przeglądark użytkownika oraz wykorzystanie jej do dalszych ataków prowadzonych w sieci wewnętrznej organizacji. Prezentacja dostarczy wielu mocnych argumentów do dyskusji dotyczących krytyczności tej podatności.

Phishing - Tomasz Sawiak

Tomasz zarzdza Działem Analiz w firmie Safe Computing. Obecnie zajmuje się analizami incydentów i podatności systemów IT oraz projektowaniem mechanizmów monitorowania w systemach  klasy SIEM (Security Information Event Managment).

Abstrakt
Temat phishingu przedstawiany jest często przez media w krzywym zwierciadle. Bez szczegółowej znajomości anatomii ataków i metod stosowanych przez sprawców niemożliwym jest podejmowanie adekwatnych działań zaradczych. Podczas prezentacji zostaną omówione najważniejsze scenariusze ataków phishingowych z wykorzystaniem złośliwego oprogramowania. Zostanie omówiona ewolucja ataków phishingowych i ich anatomia w ciągu ostatnich 5 lat w Polsce na przykładzie obserwowanych rodzin malwarów takich jak: boty IRC, Sinowal, Mebroot, Limbo, Nuklus, ZEUS  etc. Omówienie scenariuszy phishngowych oraz rodzin malwarów dokonane zostanie w kontekście dostępnych metod autoryzacji transakcji. Prezentacja będzie dobrym punktem wyjścia do dalszej dyskusji na temat kierunków rozwojów mechanizmów autoryzacji transakcji, ich projektowania oraz sposobów monitorowania ataków phishingowych.

Gdzie i kiedy?

27 styczeń 2011, Ernst & Young Rondo ONZ 1, Warszawa, Sala: 14-40 (piętro 14) godz. 18:00-20:00. Wszyscy chętni, którzy chcą uczestniczyć w spotkaniu, proszeni są o wysłanie mailu potwierdzającego na adres: [email protected].

Zapraszamy serdecznie wszystkich zainteresowanych

Wszelkie informacje związane z Owasp Polska znajdziecie na stronie http://www.owasp.org/index.php/Poland

  • Dawid Skomski

    Świetnie :) Będę tam.