Dev Days 2006 – Tid för säkerhet

Ett av de spår som kommer att hållas under Dev Days 2006 är helt fokuserat på säkerhet.  De seminarier som kommer att hållas ser ut som följande (Observera att ordningen kan komma att ändras):

  • Ajax och säkerhet
    Med Ajax och Web 2.0 tar JavaScript mer ansvar. Vi har flyttat över stora delar av serveranropen till JavaScript istället för browsern. Dessa anrop sker asynkront och vi kan nu göra fler anrop i realtid, minska antalet postbacks och därmed berika upplevelsen och användbarheten. Detta medför även en större attackyta med större variation på attacktyper, där bla XSS (Cross Site Scripting) blir ett större hot. Testprocessen blir även den en större utmaning och tillståndshanteringen likaså. I denna session gör vi en analys av den breddade attackytan då vi granskar protokoll som JSON (JavaScript Object Notation), soap, http och de olika tillvägagångssätten att injicera skadlig kod.
    Vi går bla igenom: XSRF (Cross Site Request Forgery), XSS (Cross Site Scripting), Web Services attacks mha XML Poisoning, Sql – Xpath - Xquery Injections, Verktyg som automatiserar attacker, samt tips på verktyg för att underlätta övervakning och testning av AJAX-applikationer.
    Talare: Sergio Molero, TrueSec

  • "Injecting SQL" - attacker mot dina interna applikationer
    Bristfällig filtrering av input, felaktig konstruktion av SQL-frågor, samt brist på säkerhetsmedvetenhet vid administration av SQL server. Allt detta är en farlig kombination som kan leda till injektioner av skadlig kod som inte bara kompromissar applikationen, utan kan vara dörren in för en hacker till hela det interna nätverket. SQL injections är än idag en av de vanligaste mekanismerna vid lyckade intrång via applikationslagret.
    Vi kommer under denna session titta på: Hur man konstruerar avancerade SQL injections som kringgår filtrering. Riktlinjer för säker kodning för att undvilka denna attacktyp. Hackerverktyg som automatiserar processen. Hur går hackers egentligen till väga?
    Vi kommer även att demonstrera hur man tar sig vidare om en sådan sårbarhet kan exploateras. Exempel på detta är: Exekvera kod på servrar, extrahera lösenordshashar och nyttja dessa för access till de interna systemen, installera bakdörrar för att senare ansluta till dessa.
    Talare: Sergio Molero, TrueSec

  • " Cross Site Scripting" - attacker mot dina applikationers användare
    XSS går ut på att en angripare via någon inputparameter lyckas injicera HTML/JavaScript i en webbapplikation och således, tex via DOM, förändra gränsnittet och styra över den kod som exekveras på klienten. Möjligheterna till input i en webbapplikation är många och en del inte så självklara. Denna session bygger på en serie livedemonstrationer som visar hur hackers går tillväga för att tex stjäla information för att posta till angriparens egen domän eller manipulera applikationens flöde för att dirigera användaren till falska sidor. Vi kommer att visa mängder av exempel på avancerad uppbyggnad av XSS som kringgår den vanligaste filtreringen och även ge rekommendationer till säker kodning för att motverka denna attacktyp.
    Talare: Sergio Molero, TrueSec

  • Auktorisering i och med .NET Framework
    En utmaning utvecklare stöter på är att designa autentiserings och behörighetsmekanismer som bäst lämpar sig för ändamålet och välja lämplig teknologi. Tex när behövs bevis och kodbaserad säkerhet? Under denna session kommer vi att gå igenom säkra riktlinjer för utveckling av autentiserings och behörighetsmekanismer, samt guida dig igenom de olika teknikerna och möjligheterna som erbjuds i .NET Framework. Vi kommer att ge exempel på scenarion där man behöver implementera kod och bevisbaserad säkerhet sk Code Access Security och vad man bör tänka på.
    Exempel på ämnen vi går igenom: Authorization manager, "Trust Levels" i ASP.net, Security transparency, Security Demands
    Talare: Sergio Molero, TrueSec

  • Hotbildsmodellering och "Secure Development Lifecycle"
    Att designa system med säkerhet i åtanke medför att man tidigt i design och utvecklingsfasen identifierar hoten mot applikationen och därmed motverkar skapandet av sårbarheter. Man undviker således att hamna i ett scenario där sårbarheter upptäcks för sent och tynger ned testprocessen, eller kanske inte går att åtgärda på ett önskvärt sätt för att man designat fel från början. Eller det värsta tänkbara scenariot - att man inte upptäcker dessa sårbarheter alls. Brist på säkerhetsaktiviter i utvecklingsprocessen ökar dessutom risk för att vid upprepade tillfällen återskapa sårbarheter vid vidareutveckling. Security Development LifeCycle, SDL, är en process som Microsoft designat för att utveckla säker mjukvara. SDL består av en serie säkerhetsfokuserade aktiviter som går att inkorporera i den gängse utvecklingsprocessen.
    Exempel på sådana aktiviter är: Hotmodeller sk Threat models, Kodanalyser, Säkerhetsfokuserad testning
    Under denna session kommer vi att gå igenom SDL och visa hur man skapar en hotmodell för att bättre kunna identifiera sårbarheterna i ett tidigt stadium i utvecklingsprocessen.
    Talare: Sergio Molero, TrueSec

  • Introduktion till Windows Cardspace
    I .NET Framework 3.0 introducera ett flertal nya tekniker och ramverk. Ett av de viktigaste är Windows Cardspace som underlättar för användare att hantera sina identiter för applikationer och lösningar på internet, utan att behöva skapa nya användarnman och lösenords-kombinationer som måste kommas ihåg. Här visar vi hur du kan integrera den nya tekniken i dina webblösningar.
    Talare: Johan Lindfors, Microsoft

Ser det spännande ut?

Anmäl dig idag på målsidan!