Monday, September 29, 2008

OWASP NYC AppSec Recap

The OWASP NYC AppSec conference was this past week and I was lucky enough to be one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speakers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Overall, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference was great and OWASP did a tremendous job doing everything cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference go as smoothly as possible. The organizers should be commended for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opening keynote, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organizers stated that this was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest web app security conference in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world and I could see why. I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were over 800 people at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference and every talk I went to was packed. While I went to many talks, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a few that really stood out. They are:

Malspam - Garth Bruen, knujon.com - Garth talked about what knujon has been able to accomplish over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few months and its been quite impressive. He has been gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring alot of data on illicit networks and has found a clear link between porn, drugs and malware on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. He gave one example of where an illegal pharma site was shut down and two days later it was serving up porn and malware.

Security Assessing Java RMI - Adam Boulton, Corsaire - This was an excellent talk on how to assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Java Remote Method Invocation (RMI) APIs/tools/whatever from Sun. Basically, RMI is a distributed computing API for Java and has been part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core JDK since 1.1 (java.rmi package). Its analogous to .NET, RPC or CORBA. Adam went over some methods for attacking RMI apps and previewed a tool of his named "RMI Spy" which (I believe) he'll be releasing.

Flash Parameter Injection - Ayal Yogev & Adi Sharabani, IBM - This talk was about how to inject your own data into flash applications, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result being XSS, XSRF, or anything you can think of to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client. Basically, Flash applications have global variables which can be assigned as parameters when loading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flash movie in a web page. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 global variables are not initialized properly (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y usually aren't) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n attackers can load cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own flash apps and own cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client.

APPSEC Red/Tiger Team Projects, Chris Nickerson - The next talk was probably one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best I attended at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference. Chris Nickerson was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guys on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ill-fated Tiger Team show and is a really cool guy - I talked to him for some time at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OWASP party cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 night before. He stated in his talk that pen testing applications does not show how a "real world attack" would happen. By performing a red/tiger team approach to an application test, you are able to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client how an attack would occur and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir app would be broken into. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, if someone wants cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in an app cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're not just going to bang on it from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're going to go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client site and try to get information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re through various methods.


Of course, those are brief descriptions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talks. The conference will be releasing all talks on video so I recommend watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 videos - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be worth it.

1 comment:

Unknown said...

Good recap on OWASP NYC. Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comment about my RMI presentation, glad you enjoyed it. Lots more is going to be released on this topic in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coming weeks.

Cheers!

Adam