• 28 августа 2019, среда
  • Пенза, ул. Московская 27 (БЦ "Новый Арбат", 2 этаж, офис компании «Моё дело»)

Встреча PnzDotNet №1

Регистрация на событие закрыта

Извините, регистрация закрыта. Возможно, на событие уже зарегистрировалось слишком много человек, либо истек срок регистрации. Подробности Вы можете узнать у организаторов события.

Другие события организатора

1727 дней назад
28 августа 2019 c 19:00 до 21:00
Пенза
ул. Московская 27 (БЦ "Новый Арбат", 2 этаж, офис компании «Моё дело»)

Поговорим про Bitmap индексы и уязвимости в десериализации в гостях у нашего друга, компании "Мое дело".

 

Программа встречи

 

19:00 — 20:00 Илья Зимин (SmartCat.ai) «Аккуратно трогаем BitMap индексы»

20:00 – 21:00  Михаил Щербаков (KTH Royal Institute of Technology) «Уязвимости в процессе десериализации: прошлое, настоящее и будущее»

 

Илья Зимин

«Аккуратно трогаем BitMap индексы»

Сделаем общий обзор индексов. Познакомимся поближе с BitMap индексами. Посмотрим на их структуру и поиск в них. Также остановимся на их плюсах и минусах. Область их применения. На практике реализуем свой Bitmap индекс, поэкспериментируем с различными подходами,в том числе на основе SIMD операций. Побенчмаркаем решения. Посмотрим на готовые библиотеки для .NET.

 

Об авторе

C# разработчик. Интересы: Software development и все что с этим связано, начиная от архитектуры до производительности.

 

 

 

 

 

 

 

 

 

Михаил Щербаков

«Уязвимости в процессе десериализации: прошлое, настоящее и будущее»

Уязвимости в процессе десериализации недоверенных данных известны более 10 лет, включены в OWASP Top 10 и за последние несколько лет наделали много шума в индустрии. Начнем с обзора исследований этого типа атак, посмотрим, где мы находимся сейчас и насколько хорошо проработана эта тема, в чем сложность поиска такого рода уязвимостей и какие новые подходы нам ждать в ближайшем будущем.

Разберем, какие .NET-сериализаторы (и в каких конфигурациях) уязвимы, какие инструменты мы можем использовать на практике для поиска уязвимостей, какие payload’ы известны для .NET-приложений. В том числе посмотрим на созданные Михаилом инструменты статического анализа для поиска потенциальных недостатков в коде приложений. Использование инструментов будет проиллюстрировано на примерах уязвимостей, найденных Михаилом в продуктах Microsoft за время его участия в bug bounty.

Разберем best practices в разработке для избежания ошибок использования сериализаторов и подходы снижения рисков эксплуатации таких уязвимостей.

 

 

Об авторе

Докторант в KTH Royal Institute of Technology, участник Microsoft Bug Bounty Programs, соорганизатор сообщества DotNet.ru, Microsoft MVP. Профессиональные интересы: безопасность приложений, статический и динамический анализ кода, Information Flow Security.

 

 

 

 

 

 

 

Участие бесплатное, количество мест ограничено!

Дополнительную информацию о встречах PnzDotNet Community Вы можете найти в группах сообщества:

VK: https://vk.com/penzadotnet

Telegram: https://t.me/pnzdotnet
 

Подписывайтесь на новости, задавайте вопросы, участвуйте в жизни сообщества!


 

 

Партнеры

Регистрация

Рекомендуемые события

Организуете события? Обратите внимание на TimePad!

Профессиональная билетная система, статистика продаж 24/7, выгрузка списков участников, встроенные инструменты продвижения, личный кабинет для самостоятельного управления и еще много чего интересного.

Узнать больше