Java Security Sins


Online-Workshop am Donnerstag, 30. September, 9:00–17:00 Uhr.


Dieser Workshop zeigt gibt einen Überblick über diverse Schwachstellen in Java -basierenden Applikationen, die von Angreifern häufig zur aktiven Kompromittierung von solchen Anwendungen genutzt werden.

Vorkenntnisse


  • Die Teilnehmer sollten über gute Kenntnisse in der Programmiersprache Java verfügen.
  • Bei der Durchführung der praktischen Beispiele sind ein Grundverständnis des HTTP-Protokolls sowie der Linux-Kommandozeile hilfreich.

Lernziele

Die einzelnen Schwachstellenarten und deren Ausnutzung werden von den Teilnehmern anhand praktischer Beispiele/Übungen nachvollzogen. Zudem werden mögliche Lösungsansätze besprochen. Themengebiete:


  • Schwachstellen in Applikationsservern
  • XML External Entity (XXE) Schwachstellen
  • Path-Traversals/ZIP-Slips
  • Server Side Request Forgery (SSRF)
  • Java-Deserialisierung
  • Expression Language (EL) Injection
  • JNDI Injection
  • JSON-Deserialisierung
  • Ausnutzung von Spring Actuators
  • Angriffe auf JMX-Monitoring

Agenda

09:00 - 09:20 Uhr Einleitung
09:20 - 10:15 Uhr Typische Schwachstellen in Applikationsservern
10:15 - 10:30 Uhr Pause
10:30 - 11:15 Uhr XXE Schwachstellen
11:15 - 12:00 Uhr ZIP Slips / Server Side Request Forgery (SSRF)
12:00 - 13:00 Uhr Mittagspause
13:00 - 14:30 Uhr Java Deserialisierungsschwachstellen
14:30 - 14:45 Uhr Pause
14:45 – 15:30 Uhr Expression Language / Template Injections
15:30 - 16:30 Uhr JNDI Injection und JSON Deserialisierung
16:30 - 17:00 Uhr Schwachstellen in gängigen Java Diensten (JMX, JDWP, RMI)

 

Technische Anforderungen

Alle Teilnehmer erhalten Zugang zu einer virtuelle Workshop-Umgebung; hierzu wird nur ein aktueller Browser benötigt.

Alternativ ist der Download einer Virtuellen Maschine möglich, diese wird im OVF-Format bereitgestellt, der Betrieb mitteks VMWare oder VirtualBox sollte kein Problem darstellen.

Für die virtuelle Maschine gelten die folgenden Voraussetzungen:

  • Mindestens 4 GB RAM
  • Mindestens 20 GB Festplatte

Alle weiteren wichtigen Informationen erhalten die Teilnehmenden per E-Mail.

Speaker

 

Hans-Martin Münch
Hans-Martin Münch ist Geschäftsführer der MOGWAI LABS GmbH, einem auf die Durchführung von technischen Security Audits und Penetrationstests spezialisierten Unternehmen. Er beschäftigt sich seit mehreren Jahren aktiv mit dem Thema „Offensive Java“ und hat hierzu unter anderem mehrere Blogeinträge unter https://mogwailabs.de/blog sowie diverse Tools veröffentlicht.

Timo Müller
Timo Müller arbeitet als Junior Security Analyst bei MOGWAI LABS wo er sich hauptsächlich auf Penetrationstests, Code-Reviews und Cloud Security fokussiert.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden