Cybersecurity 17 53c #8/2023 - ING Hubs Poland Katowice
Cześć!
Wpadniecie pogadać o cybersecurity? Rezerwujcie czas 18 października i widzimy się w ING Hubs Poland w Katowicach! <- zostajemy tu na dłużej
Jak zawsze, gwarantujemy super atmosferę!
Rozkład jazdy:
1. Żadne okno nie jest za małe, żeby się przez nie przecisnąć
Humorystyczna podróż w świat wykorzystywania okien czasowych, naprawiania i psucia oprogramowania oraz wyzwań związanych z utrzymaniem bezpieczeństwa w projektach open source. Wszystko to okraszone hitami z lat 90!
Prezencja nie będzie nagrywana.
2. Dlaczego HTML jest zmutowaną bestią?
Wyobraźcie sobie, że w macie jakiś dowolny obiekt w pamięci w waszym ulubionym języku programowania. Następnie serializujecie ten obiekt używając do tego standardu JSON. W kolejnym kroku zaś deserializujecie ten JSON z powrotem do obiektu w pamięci. I w tym momencie okazuje się, że dostajecie kompletnie inny obiekt niż mieliście oryginalnie – który zostaje całkowicie inaczej zinterpretowany przez aplikację i który – co gorsza – doprowadza do błędu bezpieczeństwa w aplikacji!
Brzmi źle? Na szczęście w JSON-ie zazwyczaj nie obserwujemy tego typu zachowania. Okazuje się jednak, że w HTML takie zachowanie w pewnych sytuacjach jest w 100% zgodne ze specyfikacją! Tego typu problemu zazwyczaj nazywane są mXSS (mutation XSS).
W swojej prezentacji pomówię właśnie o specyfikacji HTML, o tym z czego wynika jego skłonność do mutacji i skąd konkretnie bierze się mXSS. Opowiem też, co próbujemy zrobić, żeby próbować mXSS zlikwidować z platformy webowej.
Limit miejsc: sky is the limit
Bio naszych spotkaniowych bohaterów:
- Mateusz Kocielski: Od lat zajmuje się zawodowo bezpieczeństwem. Członek zespołu LogicalTrust.net, gdzie prowadzi testy penetracyjne oraz badania. Brał udział w analizach bezpieczeństwa ponad setki aplikacji mobilnych oraz webowych. Występował na wielu konferencjach. Znalazł błędy m.in. w oprogramowaniu PHP, Apache, Microsoft, OpenSSH, FreeBSD, NetBSD. Współtwórca oprogramowania open source (m.in. PHP, NetBSD).
- Michał Bentkowski: Inżynier bezpieczeństwa pracujący w Google. Przez wiele lat był pentesterem i regularnie znajdował błędy bezpieczeństwa w aplikacjach i systemach najbardziej znanych światowych instytucji. Od początku 2023 roku, zmienił strony i stara się używać swojej wiedzy, by zabezpieczać świat Internetu przed dalszym występowaniem tychże podatności. Michał interesuje się najbardziej bezpieczeństwem webowym, często skupiając się na XSS-ach, a jego ulubionym tematem jest łamanie bibliotek czyszczących HTML ze złośliwych elementów oraz poznawanie dziwnostek parserów HTML.
Niektóre nasze prelekcję są nagrywane i dostępne na platformie Patronite (od progu nr 3). Naszymi ulubionymi pamiątkami i tak są zdjęcia - o ile ktoś je zrobi :)
Do zobaczenia!
