speaker-photo

Krzysztof Agieńczuk

Programista języków wszelkich (zdarzyło mu się pisać m.in. w Javie, Scali, Pythonie, C++, czy JS) operujący na stałym podłączeniu do kawy.

Dużo satysfakcji sprawia mu poznawanie nowych rzeczy oraz dzielenie się tym co znalazł z innymi. Nie wierzy w robienie security po łebkach "bo tak łatwiej". W pracy znany jako "ten od security".

 

W wolnym czasie fan muzyki klasycznej i jazzu oraz jazdy konnej

10:00-13:00

Sala F Room F

Web Application Hacking powered by OWASP Juice-Shop and OWASP ZAP

Krzysztof Agieńczuk

OWASP Juice Shop to utworzona w celach dydaktycznych, celowo niezabezpieczona aplikacja internetowa napisana w całości w JavaScript. Podatności, które w niej znajdziecie i wykorzystacie znajdują się m. in. na liście OWASP Top Ten, jednak wyjdziemy również poza ten zakres. Podczas warsztatów poznacie podstawowe techniki wykorzystywane podczas testów bezpieczeństwa i samodzielnie przeprowadzić testy penetracyjne aplikacji. Poznacie również możliwości takich narzędzi jak OWASP ZAP, czy Burp Suite oraz użyjecie ich w celu automatyzacji tych "nudnych" części i ułatwienia sobie życia. Na koniec poruszymy również najważniejszy fragment testów bezpieczeństwa, czyli... pisanie raportu. Może nie jest to tak sexy jak hackowanie i łamanie aplikacji, ale to raport jest najważniejszą dla biznesu częścią i to na jego podstawie oceniana będzie wasza praca. Jak powinien wyglądać dokument podsumowujący pracę testera? Czym są błędy typu pierwszego i drugiego (false-positive i false-negative)? Dlaczego ich obecność w raporcie może położyć każdą przyszłą współpracę? To wszystko zostanie poruszone abyście mogli wczuć się w rolę pentestera i przejść przez każdy etap jego pracy. Dzięki temu będziecie mieli większą świadomość nt. różnych podatności i zagrożeń waszych aplikacji. PS. Jako bonus pokażemy sposób włączenia OWASP ZAPa do pipelina CI/CD aby jeszcze bardziej zautomatyzować (i miejmy nadzieję zwiększyć częstotliwość ich wykonywania) testy bezpieczeństwa przy użyciu już istniejącej infrastruktury testowej. 

14:00-17:00

Sala F Room F

Web Application Hacking powered by OWASP Juice-Shop and OWASP ZAP

Grzegorz Borowiec