0.2 owaspukraine2020 2020-12-05 2020-12-05 1 00:05 https://cfp.owaspukraine.org/owaspukraine2020/schedule/ 2020-12-05T11:25:00+02:00 11:25 00:20 OWASP Ukraine Online 2020 owaspukraine2020-108-6-digit-otp-for-two-factor-auth-2fa-is-brute-forceable-in-3-days https://cfp.owaspukraine.org/owaspukraine2020/talk/XCGLA3/ false Talk en В своїй доповіді розповім теоретичну частину лотереї TOTP. В якій розглянемо скільки часу може зайняти успішна Brute Force атака тимчасового одноразового паролю та як її можна маштабувати. Maksym Khramov 2020-12-05T11:45:00+02:00 11:45 00:30 OWASP Ukraine Online 2020 owaspukraine2020-104-react-native-security-addressing-typical-mistakes- https://cfp.owaspukraine.org/owaspukraine2020/talk/TRDAKN/ false Talk en Many articles claim that React Native apps are less secure than the native ones. In this talk, I shed light on React Native apps’ security based on my experience and explain some risks and threats developers should address to prevent typical mistakes. Julia Potapenko 2020-12-05T12:30:00+02:00 12:30 00:25 OWASP Ukraine Online 2020 owaspukraine2020-103-------- https://cfp.owaspukraine.org/owaspukraine2020/talk/PNKYTK/ false Talk en Додаток «Дія» від Міністерства цифрової трансформації завантажило вже більше 5 мільйонів користувачів. Але що достеменно відомо про безпеку додатку Дія професійній спільноті? Чи не час поговорити про це відкрито? З відкритих джерел про безпеку додатку «Дія» відомо лише, що невідомі компанії проводили тестування і що додаток отримав атестат відповідності КСЗІ, який міністр Федоров назвав «Оскаром» з кібербезпеки у нашій державі. Які існують ризики і як їх мінімізувати? Які аргументи мають розробники та прихильники додатку? Яка світова практика розробки додатків схожого рівня? До чого все йде і який прогноз? Про усе це я хотів би поговорити з фахівцями безпеки додатків на OWASP Ukraine 2020. Kostiantyn Korsun 2020-12-05T13:30:00+02:00 13:30 00:30 OWASP Ukraine Online 2020 owaspukraine2020-102-oauth2-0-what-where-when- https://cfp.owaspukraine.org/owaspukraine2020/talk/XNFGZC/ false Talk en Overview of the OAuth2.0 Authorization Framework, Threat Model and Security Considerations Доповідь присвячена огляду авторизаційного фреймворку OAuth2.0 та його використання. Ми пройдемо через весь "OAuth Flow", розглянемо основні вразливості, що стосуються неправильного використання OAuth, змоделюємо загрози що постають перед сучасним використанням даного фреймворку та потенційних зловмисників. Anatolii Bereziuk 2020-12-05T14:40:00+02:00 14:40 01:00 OWASP Ukraine Online 2020 owaspukraine2020-109-owasp-juiceshop-workshop https://cfp.owaspukraine.org/owaspukraine2020/talk/NCCUZQ/ false Workshop en Воркшоп надає можливість подивитись на одну і ту ж саму ситуацію з двох сторін: зі сторони пентестера, який тестує веб-додаток, а також зі сторони аналітика, що працює з системами, через які можні ці дії виявити. Під час воркшопу будуть показані дії, які виконує пентестер під час тестування веб-додатку - на прикладі OWASP Juice Shop. Крім того, буде показано як таку активність може побачити та розслідувати зі свого боку секьюріті-інженер. Як висновок, обговоримо переваги подібної співпраці для обох сторін. Serhii KorolenkoOksana SafronovaEduard Kiiko 2020-12-05T16:00:00+02:00 16:00 00:30 OWASP Ukraine Online 2020 owaspukraine2020-110-leveraging-the-crowd-power-to-regain-faith-in-internet-s-zero-trust-architecture https://cfp.owaspukraine.org/owaspukraine2020/talk/W3NQQF/ false Talk en Did you know that, every day across the Internet, each IP address is scanned hundreds of times? Or that more than 2,000 attacks are perpetrated, stealing 1.4 million personal records? That’s right, every single day! Today, there is a way to rebalance the odds and protect our resources through crowdsourced security and reputation. In 2020, our ways of living and working turned completely upside down in a matter of days. We all brought our companies home and our homes in our companies’ systems. Staying connected to our colleagues, friends and family became a critical necessity, which opened the door for hackers to cause disruption and we saw a huge increase of attacks all around the world. Even though worldwide spending on cybersecurity is predicted to reach $1 trillion in 2021 according to Forbes, the game will still be asymmetrical and all companies will keep being hacked regardless of their security budgets. Expensive security doesn’t mean better security. A new approach is needed. Join us for this talk so we can explore why a collaborative approach to security could contribute to solving the problem and how we could make the Internet safer together. /media/owaspukraine2020/images/W3NQQF/Talk_image_kJsMIs5.jpeg Philippe Humeau 2020-12-05T17:00:00+02:00 17:00 00:45 OWASP Ukraine Online 2020 owaspukraine2020-105-serverless-security-attack-defense https://cfp.owaspukraine.org/owaspukraine2020/talk/BG9ZAA/ false Long Talk en In this talk I'm going to show you various attack vectors against the serverless applications built from AWS Lambda functions. You can expect the followings: * my findings on publishing malicious NPM packages to smuggle malicious code into legitimately looking dependences, * examples of validation errors in serverless applications, including Denial of Wallet attacks and RCE in a fugacious, serverless environment * insecure defaults in Serverless framework * serverless attacks and security nuances in Azure and GCP * recipes to prevent those attacks * lots of demos * lots of fun 🙂 Pawel Rzepa