USB, DeviceKey или как получить доступ к девайсу

Роман Ананьев

• Зарядки в кафе, аэропортах, торговых центрах?!
• Что может сделать USB зарядка и что может кабель
• Как это работает?
• DeviceKey или “GrayKey Из_спичек_и_желудей”
• USBCondom: Куда надеть Condom и как! Шок-контент!
• DIY

Правила пользования docker для тех кто начинает Или как не натворить бед в самом начале

Алексей Егорычев

• Из чего состоит docker
• Docker - встроенные средства безопасности
• Дополнительные средста обеспечения безопасности
• Векторы атаки на docker
• Какие меры принять, чтобы обезопасить docker окружение


• Доклад будет интересен тем, кто начинает поьзоваться контейнерами и хочет сделать их использование безопасным. Рассмотрим примеры атак и методы защиты.

SSDLC по-татарски

Никита Ермолаев

• Разработка программного обеспечения и безопасность
• Как они связаны
• Как их смешать
• Кто их смешивает
• Что из этого получается

Как выявлять инструменты атак на Windows-инфраструктуру

Егор Подмоков

• Рассмотрим три широко используемых инструмента с уникальной историей.
• Узнаем чем они полезны для атакующего, как реализуют атаку и какие техники для этого используют
• Научимся находить их отличительные признаки и обнаруживать использование с помощью сетевого анализа и IDS

Безопасность на минималках. Еще одна история про тестирование

Ольга Свиридова

• Рассмотрим три угрозы безопасности веб-приложений
• Узнаем как их находят и используют злоумышленники
• Поговорим о тестировании веб-приложений и о некоторых способах защиты

Глобальный поиск незащищенных ресуров и баз данных

Андрей Схоменко

• Концепты поиска баз данных и других ресурсов
• Основные инструменты и методы
• Кто и как сканирует интернет на предмет нахождения незащищенных БД

Киберсталкинг и другие излишества

Руслан Жафяров

• Киберсталкинг, киберхарассмент и прочие прелести XXI века;
• Причем здесь я?
• Какие выгоды мне из этого извлечь?
• Как мне не попасться самому?

Введение в фаззинг. Практика для разработчиков и тестировщиков

Фёдор [WireSnark]

Коротко рассмотрим теорию фаззинга и основные существующие подходы. Затем попробуем на практике фаззить модельный уязвимый сервер, разберем реально возникающие проблемы.

Для воркшопа тебе понадобится ноутбук со свежим дистрибутивом Linux, можно в виртуальной машине (демо будет на Kali).

А также установить следующий софт:
• gdb, gcc, clang + llvm (полный toolchain, нам понадобится asan и libfuzzer), python3, wireshark, git, radare2
• nginx, fascgiwrap
• radamsa
• afl
• afl-utils
• зависимости для cgit: libzip, OpenSSL (libssl, libcrypto)

Склонировать репозиторий с демо-приложением:
git clone
git submodule init
git submodule update


Склонировать репозиторий с форком cgit и собрать его:
git clone
git submodule init
git submodule update
make NO_LUA=1

Рекомендуется настроить тестовый сетап cgit с одним репозиторием локально (см. его README и например).
На воркшопе будет показано, как это делать с использованием nginx.

Абуз бонусных систем

Константин Григорьев

• Бесплатный фастфуд за приглашение друзей-ботов
• Бонусная программа интернет-провайдера
• Горы подарков от интернет-магазина

Баллада о HTTP/2

Магомед Нуров

• Поговорим о том, что изменилось по сравнению с предыдущей версией
• Разберемся как HTTP/2 работает внутри
• Рассмотрим какие атаки уже не удастся осуществить

Недооцененные уязвимости современных Android приложений

Егор Богомолов (Empty.Jack)

Поговорим про опасность уязвимостей Application Debuggable и Android Backup Vulnerability. Как искать, находить, эксплуатировать?

Для воркшопа тебе понадобится ноутбук и немного софта:
• Dex2jar
• JD-GUI
• Android Debug Bridge
• Android Studio
• Apktool
• Android Backup Exctractor

Mimikatz. Почему он работает и что вам за это будет

Олег Сенко

Реальный импакт от client-side атак

Антон Казанцев

Тёмный-тёмный Интернет

Артур Гайнуллин

Как я телеграм ломал

Антон Bo0oM Лопаницын