Zaproszenie
Zapraszamy na nasze XX spotkanie.Jesteśmy przekonani, iz temat przewodni spotkania – testy bezpieczeństwa aplikacji webowych – jak i prelegenci zachęcą was do spędzenia z nami piątkowego wieczoru.
Kiedy: 4 lutego (środa), start godzina 18:00
Gdzie: Politechnika Poznańska, Budynek Biblioteki Technicznej i Centrum Wykładowego, sala L059BT (parter, część Biblioteki). Mapka tutaj
Prezentacja 1:
OWASP ASVS – dwa praktyczne zastosowania standardu – weryfikacja i podnoszenie poziomu bezpieczeństwa aplikacji webowej.
OWASP ASVS to dokument przygotowany przez dobrze znaną organizajcę non-profit OWASP. Application Security Verification Standard (ASVS) definiuje trzy poziomy zaawansowania rozwiązań bezpieczeństwa w aplikacji webowej.
Wymagania stawiane aplikacji podzielone zostały na kilkanaście grup takich jak m.in. Ochrona danych, Zarządzanie sesją, Obsługa błędów i logowanie. Weryfikując obecność mechanizmów wymaganych na danym poziomie zaawansowania możliwe jest określenie aktualnego poziomu bezpieczeństwa istniejącej aplikacji webowej. ASVS może zostać też użyty na etapie definiowania wymagań dopiero powstającej aplikacji webowej.
Celem prezentacji jest przedstawienia zawartości standardu ASVS oraz praktycznych sposobów używania tego dokumentu.
Krystian Piwowarczyk – Penetration Testing Specialist w Vector Synergy. Myślę, iż Krystiana nie trzeba przedstawiać naszym stałym uczestnikom – każdy chyba pamięta jego show rok temu: „BDD-Security – zautomatyzowane testy bezpieczeństwa oparte o techniki BDD” (jedna z najlepszych prezentacji jeśli chodzi o merytorykę i styl).
Prezentacja 2:
Wybrane problemy bezpieczeństwa aplikacji webowych
Czemu warto? – prezentacja została bardzo wysoko oceniona na konferencji Secure 2014 (#1 miejsce za merytorykę #2 miejsce za styl prezentacji). Prelekcja prowadzona będzie w formie warsztatowej – prezentowane problemy bezpieczeństwa pokazywane będą na żywo.
Michał Sajdak – posiada dziesięcioletnie doświadczenie w zagadnieniach związanych z technicznym bezpieczeństwem IT. Realizuje testy penetracyjne oraz audyty bezpieczeństwa. Prowadzi szkolenia z zakresu bezpieczeństwa. Posiadacz certyfikatów: CISSP, CEH, CTT+. Założyciel serwisu sekurak.pl / konsultant w securitum.pl