Słów kilka o (nie)bezpieczeństwie mechanizmów uploadu HTTP

Funkcjonalność uploadowania plików poprzez protokół HTTP zawsze obarczona była wysokim ryzykiem. Niepoprawnie zaimplementowany mechanizm pozwolić może na dostarczenie złośliwego kodu, nadpisanie krytycznych plików systemowych czy w konsekwencji uzyskanie nieautoryzowanego dostępu do systemów backendowych. Wektorów ataków jak i ilości ryzyk jest oczywiście dużo więcej.


Podczas prelekcji przedstawione zostaną sposoby ataku i ochrony formularzy uploadowania plików uwzględniając zarówno rekomendacje organizacji OWASP jak i najlepsze praktyki pod kątem budowy poprawnie przygotowanej, odizolowanej od reszty aplikacji architektury. Nie zabraknie przykładów z pentestowego pola walki, obrazujących reguł modsecurity czy kodu LUA rozszerzającego funkcjonalność serwerów HTTP.

Lecture language: Polish

Speaker

Partners

Track Partner
Track Partner
Track Partner
Exhibitor
Exhibitor
Exhibitor
Exhibitor
sponsor Game zone
Partner Regenation Zone
Partner
Partner
Partner