22 октября в нашем офисе прошел очередной Security Meetup. На встрече было пять докладов, посвященных различным уязвимостям. Были раскрыты такие вопросы, как реверс-инжиниринг в Enterprise и связанные с ним бизнес-процессы (на примере платежной системы Qiwi), небезопасная десериализация данных в PHP, степень надежности двухфакторной аутентификации в мобильных приложениях, работа за деньги на bug bounty, а также возможность атаки с помощью «опасного» видеофайла.
Презентации спикеров:
«Опасное видео». Максим Андреев, Облако Mail.Ru.
Максим Андреев, программист команды Облака Mail.Ru, сделал доклад о том, как с помощью специально подготовленного видеофайла осуществить SSRF-атаку, и рассказал, как даже без запуска и просмотра «опасное видео» позволяет деанонимизировать отдельных пользователей и красть файлы с их компьютеров.
Презентация выступления.
Пост на Хабре.
«Реверс-инжиниринг в Enterprise». Александр Секретов, Qiwi.
Александр Секретов – эксперт по информационной безопасности Qiwi. Он рассказал о бизнес-процессах, связанных с реверс-инжинирингом в enterprise, а также о том, как опыт анализа приложений позволяет повысить уровень безопасности инфраструктуры и приложений.
Презентация выступления.
«When big brick wall becomes wooden fence» or «how to get 1kk on the Bug Bounty». Кирилл Ермаков, Qiwi.
Кирилл Ермаков, CISO группы компаний QIWI, рассказал о типичных ошибках, которые делают люди, мечтающие заработать миллион на bug bounty, и показал несколько интересных находок на примере популярных интернет-сервисов.
Презентация выступления.
«Мобилки, деньги, два фактора». Дмитрий Евдокимов, DigitalSecurity.
Дмитрий Евдокимов, директор исследовательского центра компании DigitalSecurity, говорил о двухфакторной аутентификации, используемой, в том числе, и в мобильных приложениях.
Презентация выступления.
«PHP Unserialize Exploiting». Павел Топорков, Лаборатория Касперского.
Павел Топорков из Лаборатории Касперского выступил с докладом о том, как эксплуатировать небезопасную десериализацию данных в PHP, и о том, что именно помогает использовать данную уязвимость в реальных условиях.
Презентация выступления.
Фотографии с митапа смотрите по ссылке.
