Confidence - (23-24.05 2012 Krakow)
Język: polski | english

Karim Valiev

Bio: Karim Valiev jest studentem wydziału Nauk Komputerowych na Uniwersytecie Moskiewskim i członkiem zespołu Bushwhackers CTF. Jego zainteresowania to badanie luki SQL injection, zwłaszcza do baz typu MySQL. Pentesting aplikacji LAMP jest także jego ulubioną aktywnością „sportową”.

Temat prezentacji: Nie uwierzysz, że niewidomi widzą: benchmarkowanie skanerów SQL Injection

Język prezentacji: Angielski

Prelegenci: Karim Valiev, Andrew Petukhov

Skrót:
W ubiegłym roku wpadliśmy na pomysł systematycznego podejścia do oceny skanerów Iniekcji SQL, który został opublikowany tutaj (http://andrewpetukhov.blogspot.com/2011/08/building-benchmark-for-sql-injection.html). Przewidywalnie, narzędzia pracowały najlepiej w wykrywaniu zagadnień opartych na błędach i najgorzej w robieniu ślepych skanów iniekcji SQL z niestabilną stroną HTML.

Po opublikowaniu pierwszych wyników zebraliśmy informacje zwrotne, zaktualizowaliśmy środowisko pomiarowe i ponownie oceniliśmy aktualne wersje popularnych narzędzi (w3af, sqlmap, skipfish, burp pro).

Nasza prezentacja daje wgląd w możliwości i inteligencję narzędzi (zwłaszcza dla niewidomych przypadków), jak również wskazówki na temat kiedy i w jakim celu korzystać z narzędzi, aby osiągnąć najlepsze wyniki i zaoszczędzić więcej czasu. Na końcu będziemy dzielić się naszymi doświadczeniami (wnioski wyciągnięte, spostrzeżenia i porażki) zdobytymi podczas projektowania i eksploatacji naszego środowiska testowego.