Confidence - (23-24.05 2012 Krakow)
Język: polski | english

Andrew Petukhov

Bio: Andrew Petukhov jako wykładowca i badacz dla wydziału CS na Uniwersytecie Moskiewskim, a obecnie skupia się na analizie luk w zabezpieczeniach (dynamicznych i statycznych), jak i analizie złośliwego oprogramowania internetowego. Andrew przyczynił się do kilku otwartych projektów, w tym OWASP Access Control Rules Tester oraz Benchmarki dla skanerów SQL Injection. Tymczasem jego alter ego dostarcza oceny podatności aplikacji internetowych pod marką projektu internalsecurity.ru. Pełną listę publikacji można znaleźć tutaj:
http://translate.google.com/translate?hl=en&sl=ru&tl=en&u=http%3A%2 %2Fandrepetukhov.wordpress.com%2Fabout%2F

Temat prezentacji: Nie uwierzysz, że niewidomi widzą: benchmarkowanie skanerów SQL Injection

Język prezentacji: Angielski

Prelegenci: Andrew Petukhov, Karim Valiev

Skrót:
W ubiegłym roku wpadliśmy na pomysł systematycznego podejścia do oceny skanerów Iniekcji SQL, który został opublikowany tutaj (http://andrewpetukhov.blogspot.com/2011/08/building-benchmark-for-sql-injection.html). Przewidywalnie, narzędzia pracowały najlepiej w wykrywaniu zagadnień opartych na błędach i najgorzej w robieniu ślepych skanów iniekcji SQL z niestabilną stroną HTML.

Po opublikowaniu pierwszych wyników zebraliśmy informacje zwrotne, zaktualizowaliśmy środowisko pomiarowe i ponownie oceniliśmy aktualne wersje popularnych narzędzi (w3af, sqlmap, skipfish, burp pro).

Nasza prezentacja daje wgląd w możliwości i inteligencję narzędzi (zwłaszcza dla niewidomych przypadków), jak również wskazówki na temat kiedy i w jakim celu korzystać z narzędzi, aby osiągnąć najlepsze wyniki i zaoszczędzić więcej czasu. Na końcu będziemy dzielić się naszymi doświadczeniami (wnioski wyciągnięte, spostrzeżenia i porażki) zdobytymi podczas projektowania i eksploatacji naszego środowiska testowego.