AppSec.Zone

Все о безопасной разработке

Если ты любишь искать необычные баги, участвуешь в bug bounty и жить не можешь без кавычек, не пропусти AppSec.Zone! Здесь ты узнаешь, как разрабатывать приложения, которые не взломают.

25 августа

25 августа
11:00–11:10
Открытие
Track 1
Русский
25 августа
11:00–11:45
IP‑камера Dahua. Как посмотреть, где почесать?
DC&HW.Zone
Русский
Юрий расскажет про практическое исследование безопасности IP‑камеры известного вендора. В ходе доклада он рассмотрит криптографические алгоритмы, применяемые производителем для защиты прошивки...
25 августа
11:10–12:00
Заметки путешественника между мирами: ИБ, ИТ
Track 1
Русский
На данный момент большинство крупных и средних компаний, вне зависимости от отрасли, перешагнуло в понимании ИТ за рамки наличия только внутренней инфраструктуры. Собственная разработка...
25 августа
11:50–12:30
Превращаем обычный SSD‑диск в два с помощью реверс‑инжиниринга
DC&HW.Zone
Русский
Никита рассмотрит процесс реверса прошивки адаптера NVMe‑to‑USB и продемонстрирует процесс организации dual‑boot-загрузки ноутбука с помощью модифицированного адаптера...
25 августа
12:00–13:00
pypi.sos() — Исследуем репозиторий опенсорс‑проектов на трояны
Track 1
Русский
Каждый месяц появляются новости о том, что в репозиториях PyPI, npm, RubyGems выявляются и удаляются вредоносные пакеты, крадущие AWS‑токены, данные платежных карт, браузерные пароли и другую чувствительную...
25 августа
12:00–13:00
Безопасность банкоматов для «самых маленьких»
Finance.Zone
Русский
Доклад посвящен анализу защищенности АТМ, начиная с самых простых и распространенных кейсов. Максим приведет примеры из жизни, к чему может привести отсутствие обеспечения должной безопасности...
25 августа
12:00–13:00
Коварный мир open‑source глазами разработчика и пользователя
AppSec.Zone
Русский
Мы все используем open‑source и радуемся разнообразию, гибкости и функциональности созданных для нас программ с открытым кодом. Обратная сторона этих свойств — возможность совершить ошибку...
25 августа
12:00–20:00
Эксплуатация ядра Linux
Воркшоп
Русский
На мероприятии ты сможешь разобраться в базовых вопросах эксплуатации ядра Linux. Воркшоп включает серию практических занятий, где ты изучишь эксплуатацию ошибок ядра в современных дистрибутивах Linux...
25 августа
12:30–13:15
Устройство файла прошивки AMD PSP UEFI
DC&HW.Zone
Русский
В процессе стажировки Summ3r 0f h4ck в Digital Security Георгий выбрал тему ресерча AMD PSP и написание дампера файлов PEI‑фазы. Учитывая нехватку материала по этой тематике в интернете на любом языке, спикер...
25 августа
13:00–14:00
Mobile (Fail)rensics
Track 1
Русский
В докладе рассматривается задача получения доступа к защищенным данным, хранящимся на мобильных устройствах, в контексте криминалистической экспертизы в случае отсутствия пароля...
25 августа
13:00–14:00
Безопасность Android в POS‑терминалах
Finance.Zone
Русский
В докладе Евгений расскажет о фактической ситуации на рынке и продемонстрирует взлом пяти самых популярных POS‑терминалов...
25 августа
13:00–14:00
CTF в банке. Взломай систему — получи ca$h
AppSec.Zone
Русский
Турнир по информационной безопасности в формате CTF — элемент программы обучения принципам безопасного проектирования и программирования информационных систем. CTF позволяет на практике...
25 августа
13:00–14:30
Релиз платформы BI.ZONE Bug Bounty
Press.Zone
Русский
Команда BI.ZONE продемонстрирует интерфейс платформы, расскажет о том, для каких компаний предназначен продукт, а также объяснит, как будет выглядеть процесс получения вознаграждений для багхантеров...
25 августа
13:30–14:45
Сryptocurrencies and Privacy Аspects
DC&HW.Zone
Русский
У стен есть уши, а у домов — глаза. Доклад посвящен теме приватности и анонимности криптовалют. Новичкам будет полезно узнать о принципах работы блокчейна, а продвинутым юзерам — больше...
25 августа
14:00–15:00
Безопасность Kubernetes: Фаза Deception
Track 1
Русский
Фаза deception в организации безопасности информационных систем часто незаслуженно остается без внимания. Притом что она позволяет спровоцировать злоумышленника, проникающего в вашу систему...
25 августа
14:00–15:00
Уязвимости платежных приложений
Finance.Zone
Русский
Спикеры расскажут об опыте тестирования платежных приложений и об интересных уязвимостях, с которыми сталкивались в реальных проектах...
25 августа
14:00–15:00
Как Privacy Sandbox веб сломал, но обещал починить
AppSec.Zone
Русский
Денис приглашает поговорить о Privacy Sandbox: какие проблемы пытаются с его помощью решить, а какие в итоге создают отказом от third‑party cookie. А еще обсудить предлагаемые технологии FPS, CHIPS, FedCM и другие...
25 августа
14:45–15:45
25 августа
15:00–16:00
Fork‑бомба для Flutter
Track 1
Русский
На проектах по анализу защищенности или в программах bug bounty можно встретить приложения Flutter. Чаще всего такие активы просто пропускаются из‑за отсутствия методологий и способов обратного...
25 августа
15:00–16:00
Крафтовый антифишинг от «Тинькофф»
Finance.Zone
Русский
Павел расскажет, как в «Тинькофф» была реализована собственная система проверки сотрудников на стойкость к фишинговым атакам...
25 августа
15:00–16:00
Токены для поиска секретов, или SAST на минималках
AppSec.Zone
Русский
Поиск секретов в кодобазе — неотъемлемый процесс любого зрелого SDLC. Этот доклад — о подходе Avito к поиску секретов в коде и Docker‑образах...
25 августа
16:00–17:00
Как справляться с плохими пентестами, когда ты плохой пентестер
Track 1
Русский
История одного плохого пентеста, которая учит нас тому, что даже с абсолютно безвыходной ситуацией можно справиться, если хорошо подумать и верить в себя...
25 августа
16:00–17:00
Управление корпоративными криптовалютными кошельками
Finance.Zone
Русский
В данный момент наблюдается тенденция в сторону возможного использования криптовалют на корпоративном уровне. Валерий расскажет, как не допустить больших ошибок при таком внедрении. В докладе...
25 августа
16:00–17:00
Open-source SAST на максималках
AppSec.Zone
Русский
В докладе спикер рассмотрит SAST Semgrep и его интеграции в CI/CD. Разберет основы написания собственных правил сканирования...
25 августа
16:00–17:00
Anti-Panopticum & Privacy Problems
DC&HW.Zone
Русский
Слово «паноптикум» буквально переводится с греческого как «пространство, в котором видно все». Из доклада слушатели смогут узнать про технологии для обеспечения собственной приватности...
25 августа
17:00–18:00
FHRP Nightmare
Track 1
Русский
Организация систем отказоустойчивости в корпоративных сетях является ключевым звеном для того, чтобы сделать компьютерную сеть более надежной. В рамках доклада спикер расскажет, что могут значить...
25 августа
17:00–17:30
Особенности современного анализа защищенности веб‑приложений. Прощай, injection!
AppSec.Zone
Русский
Современные фреймворки исключают целый пласт проблем безопасности, которые были популярны еще несколько лет назад. В своем докладе Егор расскажет о том, как выглядит анализ защищенности современных...
25 августа
17:00–19:00
Полный обзор YubiKey и passwordLess уже вчера и практическое использование + TPM
DC&HW.Zone
Русский
Спикеры сделают подробный обзор ключей безопасности YubiKey c использованием таких инструментов, как GPG, U2F (FIDO/FIDO2), OTP, Git. Расскажут, как применять на практике passwordless, как использовать TPM в Linux и хранить...
25 августа
17:30–18:00
Ошибки, которые мы совершаем: внедрение SDLC
AppSec.Zone
Русский
Речь пойдет об ошибках, которые автор когда‑то допустил при внедрении SDLC c нуля, об уроках, которые были получены из‑за ошибок и могут помочь кому‑либо в будущем...
25 августа
18:00–19:00
Application Security Design Antipatterns
Track 1
Русский
Антипаттерны безопасности — это часто встречающиеся шаблоны небезопасного проектирования приложений. Неосознанное следование подобным шаблонам «закладывает мины» под фундамент приложения...
25 августа
18:00–19:00
Безопасность upgradeable смарт‑контрактов
Finance.Zone
Русский
Одно из основополагающих свойств блокчейна — это невозможность подмены данных (immutability). Однако не все смарт‑контракты имеют неизменный код. Распространенная практика — использовать шаблон...