Od zera do pierwszego 0-daya! Warsztaty automatycznego wyszukiwania podatności i ich analizy
Jeżeli chcesz “mieć” swoje CVE to trafiłeś idealnie!
Warsztat jest opracowany z myślą o wprowadzeniu uczestników w arkana najlepszych metod i narzędzi służących do automatycznego wykrywania podatności i analizy błędów w oprogramowaniu w praktyczny sposób.
Na początku skupimy się na zrozumieniu technik: analizy binarnej, wyszukiwania różnych typów podatności oraz debuggowania. “Wgryziemy” się w praktyczny fuzzing i błędy, które spędzają sen z powiek programistom za pomocą swojego niedeterministycznego występowania. Uczestnicy poznają techniki do analizy słabych stron aplikacji, pisania gramatyk oraz pozyskiwania korpusów testowych gwarantujących interesujące wyniki.
Po zrozumieniu aspektów bughuntingu nadejdzie czas na automatyzację analizy podatności i sposoby debuggowania gwarantujące szybkie znalezienie wadliwych elementów kodu.
Szkolenie skupia się na architekturze x86/x64 i atakowaniu parserów (tekstowych, sieciowych, binarnych), fuzzingu sieciowym na platformach Windows i Linux.
To szkolenie nauczy Cię…
- charakterystyk klas podatności i sposobów obrony przed nimi,
- technik automatycznego poszukiwania błędów i doboru najlepszych narzędzi do wykrywania luk,
- podstaw analizy binarnej,
- analizować i automatyzować analizę znalezionych błędów,
- tunigować sieć, pliki, binaria i skalować proces fuzzingu na wielu poziomach,
- pisania własnego fuzzera dla wybranego projektu open-source,
- gotowego do wdrożenia w proces wytwarzania kodu podejścia Fuzz-Driven Development.