Имайки предвид, че предишните ми публикации за опита ми в Black Hat Federal получиха доста добри отзиви, реших, че има смисъл отново да подчертая пътуване с Black Hat. Този път беше чак до Амстердам, където Роб Картър и аз ще говорим за използването и злоупотребата с URI.
Като се има предвид моята предишни публикации за моя опит при Федерална черна шапка получи доста добри отзиви, реших, че има смисъл отново да подчертая пътуване с Black Hat. Този път беше чак до Амстердам, където Роб Картър и аз ще говорим Използване и злоупотреба с URI.
За справка създадох a галерия от снимки от пътуването, което ще актуализирам, докато конференцията продължава. Конференцията е на Хотел Movenpick, само на кратка разходка от гарата, квартала на червените фенери и всичко това е сърцето на Амстердам. Роб и аз прекарахме по-голямата част от първия ни ден, опитвайки се да намерим това място Джеф Мос (основател на Black Hat) беше споменал за обяд Waag (произнася се по-скоро като V вместо W и завършващ със звук от комбинация от G и K, който никога не бих могъл правилно да произнеса, който звучи повече като Vwaghk (I мисля)). След като обясних няколко пъти на рецепционистката в хотела, че търся Wagg, а не the "Vwaghk", приех, че тя трябва да знае какво говори и че аз съм глупакът, затова я взех посоки. Разбира се, ние се загубихме, което изглежда лесно да се направи, тъй като улиците лъкатушат между водните пътища и има толкова много за гледане по пътя.
Архитектурата в Амстердам е невероятна! Продължавах да търся Waag и ме отклониха поради количеството интересни сгради, магазини и герои за разглеждане. В опит да се насладим на културата в най-голяма степен, Роб и аз спряхме в кафене, наречено Bulldog, което сервира страхотно кафе. Сериозно, те го направиха. В крайна сметка, след като тръгнахме в напълно грешната посока, един местен беше достатъчно добър да ни обърне и да ни постави на правилния път към Waag. Беше впечатляваща структура и изглеждаше като хубаво място за хранене, но трябваше да се върна навреме, за да проведа интервю с Маркъс Пинто и Дафид Щутард (Портсуигер) на тренировъчната сесия, която предоставят на участниците в Black Hat Europe.
Връщайки се точно навреме, настигнах Marcus (изображението ще бъде показано по-късно) и Dafydd (изображението ще бъде показано по-късно) за кръг от въпроси и отговори:
Нейт: Хей, момчета, много ви благодаря, че се срещнахте с мен днес, за да обсъдим вашия курс за обучение „Сигурност (в) на уеб приложенията“. Бихте ли ми казали малко за класа и какво ще научат присъстващите?
Dafydd: Това е двудневен курс за хакване на уеб приложения, който смесва теория, използвани техники, както и практически лабораторни упражнения, които включват хакване на демонстрационно уеб приложение. Използват се редица демонстрационни приложения и има предизвикателство Capture the Flag в края на класа, където раздаваме награди. Дори предоставихме работа в NGSSoftware на един от победителите през предходната година, тъй като бяхме впечатлени от уменията му.
Маркъс: Разговорът е много фокусиран върху атаките и ние преподаваме на тези техники, но присъстващите също ще придобият някои знания как да се защитават и от тези видове атаки. Ние сме преподавали подобни курсове много пъти на нашите клиенти и на други конференции, включително други черни шапки, и това беше добре прието.
Нейт: Повечето от момчетата, с които работя, и редица други, които познавам в индустрията, използват вашия (говорейки с Dafydd) Инструмент Burp Suite широко, това наистина е чудесен инструмент за тестване на уеб приложения. Какво мислите за състоянието на инструментите за тестване на сигурността на приложенията, особено тези, които са по-автоматизирани в своя подход?
Dafydd: Е, ние сме склонни да имаме много ръчен подход в NGSSoftware. Ние, разбира се, оценихме и от време на време използваме инструменти като WebInspect или AppScan, но те наистина са добри само в намиране на констатации от машинно повтарящ се тип, като SQL инжектиране, междусайтови скриптове и други базирани на подпис находки.
Маркъс: Дори сме имали множество случаи, при които тези инструменти не намират SQL инжектиране или имат грешки в начина, по който съобщават за проблеми с SQL инжектиране, като като предоставяне на последния вектор на атака, който е "работил" за SQL инжектиране, което може да причини някои изключения, но не е истинска атака с SQL инжектиране вектор. Високият фалшиво положителен процент може да направи инструментите малко тромави за използване от опитен тестер. Да не говорим, че тези инструменти напълно ще пропуснат цели класове уязвимости, като проблеми с удостоверяване/упълномощаване...
Dafydd: Погрешни проблеми с бизнес логиката, като промяна на цената ви преди публикуване на атаки за покупка и др.
Нейт: Не мога да се съглася повече. Звучи като същото нещо, което сме забелязали там, където работя. Вие двамата наскоро е съавтор на „Наръчник на хакера на уеб приложения“(който може да бъде закупен от сайта на portswigger, който Dafydd управлява тук), който взех наскоро и все още не съм го прочел, но първите признаци са, че изглежда доста добре. Бихте ли поговорили малко за книгата?
Маркъс: Наистина е доста подобно на тренировъчната сесия, която дадохме тук по отношение на съдържанието.
Dafydd: Покриваме много съдържание както в книгата, така и в курса за обучение. Имаме дори раздел за хакването на дебел клиент, който се фокусира върху Java аплети и ActiveX контроли.
Нейт: Много интересно, благодаря много за отделеното време!
След разговора имах шанс да се срещна със сър Личфийлд старши и да поговоря с него. Горещо го препоръчвам, ако вие сами имате възможност, тъй като той е много забавен, особено когато разказва истории от Royal Marine... за съжаление обаче в този момент не бяхме записани.
-Нейт.