Ассоциация «РусКрипто» » Конференция «РусКрипто’2010» » Программа конференции » Penetration testing internals |
Penetration testing internals |
Об ассоциации «РусКрипто»
Программа конференции
Материалы конференцииОрганизаторы конференции
|
Генеральные спонсоры
|
Спонсор конференции
|
Научный спонсор
 |
Партнеры РусКрипто CTF
 |
 |
 |
 |
 |
 |
Информационные спонсоры
 |
 |
 |
 |
 |
 |
 |
|
Интернет-партнеры
 |
 |
 |
Модератор: Сергей Размахнин, руководитель группы департамента информационной безопасности, МТС
Секция посвящена технологиям сетевых атак, тестирования на проникновение и другим «экстремальным» методикам оценки защищенности информационных систем.
Список докладов
Тестирование на проникновение, что за??! Дмитрий Евтеев, эксперт по безопасности, Positive Technologies Тестирование на проникновение (тесты на преодоление защиты, penetration testing) является популярной во всем мире услугой в области информационной безопасности. Практический опыт предоставления данной услуги показывает, что вокруг тестов на проникновение сложилось большое количество мифов и неоднозначных трактовок. В рамках доклада рассматриваются основные вопросы, связанные с проведением тестов на проникновение с организационной, методической и технической точки зрения. Приводятся примеры реальных работ и их использования в рамках стратегии развития ИБ компаний.
Обзор уязвимостей баз данных на примере Oracle, IBM DB2 Юрий Гуркин, генеральный директор, GLEG Характерные типы уязвимостей баз данных: уязвимости в сетевых сервисах, позволяющие получить контроль над системой или базой данных, или вызвать отказ в обслуживании, уязвимости в процедурах PL/SQL, позволяющие получить привилегии SYS. Рассматриваются методы эксплуатации данных типов уязвимостей, в частности SQL Injections с использованием Java. Обзор состояния защищенности последних версий баз данных с примерами новых уязвимостей (0-day) в IBM DB2, Oracle.
Атаки на клиентов. Технология JIT-SPRAY. Написание универсального шеллкода Алексей Синцов, аудитор ИБ, Digital Security С учетом последних техник защиты, таких как DEP, ASLR и защита от HeapSpray в браузере IE 8, атаки на клиентов с использованием популярных уязвимостей стали затруднены, а в некоторых случаях невозможны. Существует новый метод Jit Spray, предложенный на BlackHat DC 2010, который позволяет обойти защиту ASLR и DEP при атаке на браузер клиента. Однако публичного рабочего эксплоита до сих пор предложено не было. В докладе особое внимание уделено особенностям разработки универсального шеллкода для реализации данного метода.
Программа конференции «РусКрипто’2010»
E-mail: info@ruscrypto.ru