OWASP EU: Poland / CONFidence 2009

Już po. Czas na małe podsumowanie.

1) OWASP EU: Poland 2009

Prezentacje:
- Exploiting Web 2.0 – Next Generation Vulnerabilities - bardziej przypomnienie, że w Web 2.0 też można exploitować ;) chociaż jest to bardziej skomplikowane niż kiedyś... warto wspomnieć, że takie testy to nie _nowość_
- The Truth about Web Application Firewalls: What the vendors do not want you to know - niestety nie byłem, ale dema były pokazywane już na koniec "awesome!", świetna praca Sandro&Wendel! Wasze zdrowie!
- OWASP Enterprise Security API (ESAPI) Project - trwają prace nad ESAPI 2.0, nowe funkcjonalności... czas potraktować temat poważniej :)
- HTTP Parameter Pollution - NAJciekawsza prezentacja całej konferencji, IMHO oczywiście, czekam na pdf'a!

Eventy:
- CTF by Andres i Jarek wyglądał ciekawie... ale więcej zobaczyłem dopiero na CONFidence :-)

Uwagi:
- konferencja całkiem dobrze zorganizowana, widać, że tu zupełnie inny klimat niż CONFidence, brakowało nowych rzeczy dla kogoś ogólnie zaznajomionym z OWASPem...


2) CONFidence 2009

Prezentacje:
- A Pentester’s Guide to Credit Card Theft Techniques - jedna z prezentacji, na której musiałem być, poza wskazanymi słabościami PCI DSS najciekawsze było pytanie kogoś z sali: Czy PCI DSS wymaga by numer CVV był weryfikowany podczas operacji wykonywanej kartą kredytową? Okazało się, że autor pytania wpisuje dowolny ciąg cyfr i robi zakupy swoją kartą. Powalające...
- Oracle SQL Injection in Webapps - nie-sa-mo-wi-te :-)
- Introducing Heyoka: DNS Tunneling 2.0 - pamiętam jak wiele lat temu kolega potrzebował skorzystać z sieci, a że podczas urlopu nikt nie opłacił abonamentu został wycięty... został tylko DNS. Wystarczy.
- Lockpicking 101 - jak życia starczy to warto się tym zainteresować, choćby dla samego siebie
- VAASeline: VNC Attack Automation Suite - byłem tylko ciałem (coś tam grałem w CTF), muszę zobaczyć w prezentację
- Bakeca.it DDoS: How Evil Forces Have Been Defeated - ciekawa z prawdziwymi przypadkami, jedna z lepszych prezentacji w tym roku
- Java and JEE Vulnerabilities explained - spodziewałem się chyba czegoś innego, a może właściwie za dużo czytam... po prostu wcześniej to widziałem
- Corporate Security and Intelligence: the dark links - niesamowita opowieść Raula, kto nie był niech żałuje!

Eventy:
- duża ilość konkursów bardzo podniosła atrakcyjność imprezy, ŚWIETNY CTF (15 zadań! grałem tylko ~1,5h, ale zabawa przednia, wygrał zespół w skład którego wszedł: Mateusz ‘j00ru’ Jurczyk i Gynvael Coldwind), crackme ESETu (nie miałem okazji ani siły ;) zerknąć, wygrał Gynvael) i konkurs Try to break F5 Security, gdzie zabezpieczono serwis WWW konfiguracją F5 ASM i trzeba było poszukać luk, których WAF nie pokrył dostatecznie (wygrałem ja :P a w nagrodę wpadł mi w ręce Ipod Touch)
- była też impreza... a właściwie to trwały już od wtorku więc podaruję komentarz, było fajnie ;)

Uwagi:
- do zobaczenia za rok! :-)

Pozdrowienia:
- dla wszystkich... od 'Hi!', 'Hello!', 'Cześć!', 'Siema!', przez wspólne stoliki, kolejki przy barze, obiady, kolacje, rozmowy, gry na automacie, aż po tych, z którymi mieszkałem przez te kilka dni ;)
- dla ORGANIZATORÓW: wielkie dzięki za CONFidence 2009 i do zobaczenia w przyszłym roku!