LFI/RFI – Remote Code Execution einfach gemacht

Local/Remote File Inclusion gibt es schon sehr lange. Trotzdem finden sich diese Sicherheitslücken immer wieder in der freien Wildbahn und sind höchst gefährlich.

In diesem Vortrag geht es darum, diese Angriffe zu erklären, und zu zeigen, wie man sich dagegen schützen kann. Zum besseren Verständnis werden einfache fehlerhafte Live-Demos in PHP und JSP mittels Docker gezeigt, die – als Open Source veröffentlicht – zum besseren Verständnis oder als Referenz in Pentests herangezogen werden können.

Vorkenntnisse

Kenntnisse des Webs und Programmierkenntnisse sind von Vorteil. Primäre Zielgruppe sind Softwareentwickler und Pentester.

Lernziele

Aufbau eines Verständnisses der Sicherheitslücke LFI/RFI und wie man diese Lücke mindern bzw. abstellen kann.

 

Speaker

 

Matthias Altmann
Matthias Altmann ist Softwareentwickler und IT-Security-Experte bei der Micromata GmbH, wo er gemeinsam mit seinen Kollegen den Bereich IT-Sicherheit betreut und fortentwickelt. Er ist außerdem Mitbegründer und Organisator des IT-Security-Meetups Kassel, einem Netzwerk von IT-Security-Enthusiasten, die sich dem fachlichen Austausch zum Thema verschrieben haben. Mehr Informationen auf seinem Blog: https://secf00tprint.github.io/blog/about.html

Gold-Sponsoren

RIGS IT
SearchGuard
WIBU Systems

Silber-Sponsoren

COTECH
RIPS Technologies

Bronze-Sponsor

heidelpay

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden