1. Juni 2017

Am 13. Juni 2017 lädt die Java Usergroup Berlin-Brandenburg und die InnQ Deutschland GmbH zum Vortrag Angriffe auf Java Deserialisierung - die Geister, die ich rief… mit Christian Schneider ein.

Der Vortrag

Angriffe auf Java Deserialisierung - die Geister, die ich rief… (Christian Schneider): In der letzten Zeit hat sich für so manches Projekt oder manchen Softwarehersteller eine scheinbar völlig neue Klasse von kritischen Verwundbarkeiten der eigenen Software aufgetan. Objektiv betrachtet ist das Thema Remote Code Execution durch Deserialisierung von Objekten in der Security-Szene jedoch schon lange ein Thema und betrifft weit mehr Sprachen als nur Java. In diesem Talk ordne ich die Verwundbarkeit aus Sicht eines Security Professionals und Pentesters ein und zeige Ihnen, wie ein solcher Angriff funktioniert und warum es ein Problem auf breiterer Basis ist, als nur eine Hand voll Bibliotheken betreffend (so wie es leider in manchen Medien behandelt wurde). Nachdem wir gemeinsam die Vorgehensweise eines Angreifers zur kompletten Übernahme des Applicationservers nachvollziehen, werden Sie das eigentliche Problem dahinter verstehen und können die abschließend präsentierten Abwehrmaßnahmen besser auf Wirkung und Restrisiko einschätzen.

Die Redner

Christian Schneider (@cschneider4711) ist als freiberuflicher Whitehat-Hacker und Trainer tätig. Er unterstützt seine Kunden im Bereich der Web-Security durch Penetration-Tests und Security Architecture Consulting. In dieser Rolle führt er regelmäßig Trainings zu den Themen Pentesting, Security DevOps sowie Secure Coding durch und bloggt auf www.Christian-Schneider.net.

Der Ablauf

  • 18:30 Uhr Einlaß

  • 19:00 Uhr Beginn des Vortrags

Anschließend gibt es die Möglichkeit für Networking und Plausch.

Die Anmeldung

Über eine Voranmeldung zu der Veranstaltung über die Meetup-Gruppe der JUG Berlin-Brandenburg würden wir uns freuen, jedoch ist die Anmeldung nicht zwingend erforderlich. Wir freuen uns auf jeden Teilnehmer.