Od zera do pierwszego 0-daya! Warsztaty automatycznego wyszukiwania podatności i ich analizy. | Instytut PWN
WARSZTAT

Od zera do pierwszego 0-daya!
Warsztaty automatycznego wyszukiwania
podatności i ich analizy

Do konferencji zostało jeszcze:
20
dni
20
godziny
22
minuty
21
sekundy

Jeżeli chcesz “mieć” swoje CVE to trafiłeś idealnie!

Warsztat jest opracowany z myślą o wprowadzeniu uczestników w arkana najlepszych metod i narzędzi służących do automatycznego wykrywania podatności i analizy błędów w oprogramowaniu w praktyczny sposób.

Na początku skupimy się na zrozumieniu technik: analizy binarnej, wyszukiwania różnych typów podatności oraz debuggowania. “Wgryziemy” się w praktyczny fuzzing i błędy, które spędzają sen z powiek programistom za pomocą swojego niedeterministycznego występowania. Uczestnicy poznają techniki do analizy słabych stron aplikacji, pisania gramatyk oraz pozyskiwania korpusów testowych gwarantujących interesujące wyniki.

Po zrozumieniu aspektów bughuntingu nadejdzie czas na automatyzację analizy podatności i sposoby debuggowania gwarantujące szybkie znalezienie wadliwych elementów kodu.

Szkolenie skupia się na architekturze x86/x64 i atakowaniu parserów (tekstowych, sieciowych, binarnych), fuzzingu sieciowym na platformach Windows i Linux.

Odpowiednio Cię uzbroimy!

 

Każdy uczestnik szkolenia otrzymuje bonusy, wspierające poszukiwania podatności:

  • korpusy plików testowych – 26 formatów, ponad trzy miliony plików,
  • dostęp do platformy Bughunting.pl zawierającej dodatkowe, aktualizowane na bieżąco materiały oraz udostępniającej możliwość wymiany wiedzy i doświadczeń między uczestnikami,
  • serwer VPS do eksperymentów,
  • 2h konsultacji po warsztatach – omówienie pracy domowej lub dowolnych innych tematów związanych z bezpieczeństwem IT.

To szkolenie nauczy Cię…

 

  • charakterystyk klas podatności i sposobów obrony przed nimi,
  • technik automatycznego poszukiwania błędów i doboru najlepszych narzędzi do wykrywania luk,
  • podstaw analizy binarnej,
  • analizować i automatyzować analizę znalezionych błędów,
  • tunigować sieć, pliki, binaria i skalować proces fuzzingu na wielu poziomach,
  • pisania własnego fuzzera dla wybranego projektu open-source,
  • gotowego do wdrożenia w proces wytwarzania kodu podejścia Fuzz-Driven Development.

Program

14 czerwca
09:00
Dlaczego warto szukać podatności bezpieczeństwa?

więcej>>
Ewolucja krytyczności błędów
Dlaczego warto to robić za pomocą fuzzerów i metod automatycznych?
Najczęściej występujące problemy bezpieczeństwa w oprogramowaniu i mechanizmy mitygacji

więcej>>
Proces bughuntingu

więcej>>
Fuzzery pod maską i niejedno imię fuzzera

więcej>>
Jak znaleźć interesujący komponent do ataku?

więcej>>
-17:00
Dlaczego Linux jest preferowany do testów?
15 czerwca
9:00
Atakowanie whitebox

więcej>>
Atakowanie blackbox (bez potrzeby posiadania kodu źródłowego)

więcej>>
Atakowanie greybox (z wiedzą o formatach przyjmowanych przez program)

więcej>>
Analiza statyczna

więcej>>
Analiza dynamiczna

więcej>>
Analiza niedeterministycznych awarii za pomocą rr

więcej>>
FuzzManager - raportowanie i zarządzanie wieloma "fuzzing jobami"

więcej>>
Co dalej?

więcej>>
-17:00
Inne

więcej>>

EKSPERT

Kamil Frankowicz

KAMIL FRANKOWICZ

fan fuzzingu oraz nowych metod powodowania awarii programów. Na co dzień broni bezpieczeństwa polskiego Internetu, pracując jako Senior Security Engineer w CERT Polska.

Do jego specjalności należy psucie – często nieintencjonalne. Odkrywca ponad 130 podatności bezpieczeństwa i 500+ błędów w oprogramowaniu.

W czasie wolnym lata dronem, fotografuje i nieregularnie opisuje swoje znaleziska na blogu związanym z bughuntingiem.

Uczestnicy

Kto powinien wziąć udział w szkoleniu?

 

  • specjaliści ds. bezpieczeństwa IT i pentesterzy,
  • programiści i testerzy,
  • badacze bezpieczeństwa IT,
  • dostawcy rozwiązań w zakresie bezpieczeństwa IT,
  • pasjonaci bezpieczeństwa teleinformatycznego,
  • wszyscy, którzy myślą o karierze w obszarze ofensywnego bezpieczeństwa aplikacji!

 


 -Wymagania:

  • Podstawy programowania w C/C++ lub Python
  • Podstawy obsługi systemów operacyjnych z rodziny GNULinux i Windows
  • Własny komputer:
    • 64-bitowy system operacyjny Windows lub GNU/Linux (preferowane pochodne Debiana, np. Ubuntu)
    • zainstalowane oprogramowanie VirtualBox
    • minimum 8 GB RAM, sugerowane 16+ GB
    • minimum 2-rdzeniowy procesor
    • minimum 50GB wolnego miejsca na dysku

Miejsce i termin

14-15 czerwca, ONLINE
Szkolenie online
Interaktywne szkolenie z możliwością zadawania pytań

Formularz rejestracyjny

Warunki uczestnictwa

Warunkiem udziału w warsztacie jest wypełnienie poniższego formularza zgłoszeniowego oraz akceptacja regulaminu.

Podstawą do uiszczenia należności jest faktura pro forma, która zostanie przesłana w postaci PDF na adres mailowy podany w zgłoszeniu.

Nieuregulowanie faktury pro forma nie jest równoznaczne z rezygnacją z udziału w warsztacie.

Zasady składania rezygnacji zostały określone w regulaminie.

W przypadku złożenia rezygnacji w terminie późniejszym niż 14 dni kalendarzowych przed terminem wydarzenia, organizator zastrzega sobie prawo, zgodnie z regulaminem, do obciążenia zamawiającego pełnymi kosztami udziału w konferencji.

——————————————————————–

Warsztaty odbędą się w formule online za pośrednictwem interaktywnej platformy

Termin

14-15 czerwca 2021, ONLINE

Cennik/kod

od 19 stycznia 2021
3499 PLN
netto + Vat 23%
(do zapłaty: 4303.77 PLN)

Dane do wystawienia faktury VAT

Firma/Instytucja
Osoba fizyczna

Warunki zwolnienia z VAT

Tak - oświadczam, że udział w szkoleniu finansowany jest ze środków publicznych
Nie - udział w szkoleniu nie jest finansowy ze środków publicznych

Typ płatności

Przelew po otrzymaniu faktury PRO FORMA
Pay-U