Dienstag, 09:30 Uhr

JavaScript-Security: "Pwn" den Juice Shop

Trete alleine oder gemeinsam mit einem Hacking-Partner an, den Juice Shop vor allen anderen Teilnehmern zu "pwnen"! In dieser absichtlich mit Schwachstellen versehenen Anwendung kannst du deine Websicherheitskenntnisse unter Beweis stellen und als Sieger aus dem Capture the Flag hervorgehen. Anfänger als auch Experten sind willkommen, für jedes Skillset sind Schwachstellen dabei. Penentration-Testing-Erfahrung ist nicht notwendig.

Der Juice Shop ist eine in 100 Prozent JavaScript geschriebene Webanwendung.

Vorkenntnisse:
* Grundlagen Webanwendungen
* Eigener Laptop erforderlich

Lernziele:
* Sensibilisierung für Sicherheit
* Aneignen der destruktiven Denkweise eines Angreifers, z. B. um besser Evil User Storys erstellen zu können
* Erlernen von Angriffen und Abwehrmaßnahmen

Technische Anforderungen:

  • Ein Laptop mit Browser ist erforderlich

  • Postman kann hilfreich sein

  • Penetration-Tester dürfen auch Web-Penetrationtest-Werkzeuge mitbringen

  • Teilnehmer erhalten ein Plakat, auf dem sie mittels hochwertiger Sticker ihre absolvierten Hacking-Leistungen dokumentieren

Falls Sie ein Gerät Ihrer Firma verwenden, überprüfen Sie vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei Ihnen auftreten könnte:

  • Corporate Laptops mit übermäßig penibler Sicherheitssoftware

  • Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden


Agenda:

ab 08.30 Registrierung und Begrüßungskaffee

09:30 Beginn

  • Einführung in den Juice Shop

  • Vorstellung von Broken Authentication und geführtes sowie eigenständiges "Pwnen" des Juice Shop

10.45 - 11.00: Kaffeepause

  • Vorstellung von Injection und Solo- oder Gruppen-"Pwnen" des Juice Shop

12:30 - 13.30: Mittagspause

  • Vorstellung von Broken Access Control und Solo- oder Gruppen-"Pwnen" des Juice Shop

14.45 - 15.15: Kaffeepause

  • Vorstellung von Cross-Site Scripting und Solo- oder Gruppen-"Pwnen" des Juice Shop

ca. 17 Uhr: Ende

Timo Pagel

Timo berät und trainiert als IT Security Architekt freiberuflich Kunden unterschiedlicher Branchen. In seiner Freizeit engagiert er sich als Projektleiter und Collaborator bei einer Vielzahl von OWASP Projekten und als Dozent an der Fachhochschule Wedel.


Björn Kimminich
(OWASP)

Björn ist IT-Architekt und Application Security Officer bei Kuehne + Nagel (AG & Co.) KG, nebenamtlicher Dozent für IT-Sicherheit an der Nordakademie und Projektleiter des OWASP Juice Shop.