- 28 августа 2019, среда
- Пенза, ул. Московская 27 (БЦ "Новый Арбат", 2 этаж, офис компании «Моё дело»)
Встреча PnzDotNet №1
Извините, регистрация закрыта. Возможно, на событие уже зарегистрировалось слишком много человек, либо истек срок регистрации. Подробности Вы можете узнать у организаторов события.
Поговорим про Bitmap индексы и уязвимости в десериализации в гостях у нашего друга, компании "Мое дело".
Программа встречи
19:00 — 20:00 Илья Зимин (SmartCat.ai) «Аккуратно трогаем BitMap индексы»
20:00 – 21:00 Михаил Щербаков (KTH Royal Institute of Technology) «Уязвимости в процессе десериализации: прошлое, настоящее и будущее»
Илья Зимин
«Аккуратно трогаем BitMap индексы»
Сделаем общий обзор индексов. Познакомимся поближе с BitMap индексами. Посмотрим на их структуру и поиск в них. Также остановимся на их плюсах и минусах. Область их применения. На практике реализуем свой Bitmap индекс, поэкспериментируем с различными подходами,в том числе на основе SIMD операций. Побенчмаркаем решения. Посмотрим на готовые библиотеки для .NET.
Об авторе
C# разработчик. Интересы: Software development и все что с этим связано, начиная от архитектуры до производительности.
Михаил Щербаков
«Уязвимости в процессе десериализации: прошлое, настоящее и будущее»
Уязвимости в процессе десериализации недоверенных данных известны более 10 лет, включены в OWASP Top 10 и за последние несколько лет наделали много шума в индустрии. Начнем с обзора исследований этого типа атак, посмотрим, где мы находимся сейчас и насколько хорошо проработана эта тема, в чем сложность поиска такого рода уязвимостей и какие новые подходы нам ждать в ближайшем будущем.
Разберем, какие .NET-сериализаторы (и в каких конфигурациях) уязвимы, какие инструменты мы можем использовать на практике для поиска уязвимостей, какие payload’ы известны для .NET-приложений. В том числе посмотрим на созданные Михаилом инструменты статического анализа для поиска потенциальных недостатков в коде приложений. Использование инструментов будет проиллюстрировано на примерах уязвимостей, найденных Михаилом в продуктах Microsoft за время его участия в bug bounty.
Разберем best practices в разработке для избежания ошибок использования сериализаторов и подходы снижения рисков эксплуатации таких уязвимостей.
Об авторе
Докторант в KTH Royal Institute of Technology, участник Microsoft Bug Bounty Programs, соорганизатор сообщества DotNet.ru, Microsoft MVP. Профессиональные интересы: безопасность приложений, статический и динамический анализ кода, Information Flow Security.
Участие бесплатное, количество мест ограничено!
Дополнительную информацию о встречах PnzDotNet Community Вы можете найти в группах сообщества:
VK: https://vk.com/penzadotnet
Telegram: https://t.me/pnzdotnet
Подписывайтесь на новости, задавайте вопросы, участвуйте в жизни сообщества!