This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
OWASP ISRAEL 2009 05 Hebrew
OWASP Israel - פגישה באי.בי.אם 7/5/2009
מפגש OWASP Israel התקיים באודיטוריום של חברת IBM בפארק אזורים בפתח-תקוה ביום ה' ה-7/5/2009.
ההרצאות בתוכנית היו:
התקפות "אדם באמצע" אקטיביות למערכות Web
עדי שהרבני, IBM
(ההרצאה מבוססת על מחקר מקיף של קבוצת המחקר ב-IBM ותוצג שבוע לאחר הכנס שלנו בכנס האירופי השנתי של OWASP) כולנו יודעים ששימוש ברשתות אלחוטית ציבוריות הוא מסוכן ונחשוב פעמיים לפני שנשתמש בו לצורך גישה לחשבון הבנק שלנו. אך מה בדבר גלישה תמימה לאתר החדשות החביב עלינו?
בהרצאתו יציג עדי כיצד שימוש ברשתות ציבוריות יכול לחשוף את המשתמש לפרצות אבטחה רבות כמו XSS, CSRF וגניבת מידע מהגלשן בכל Domain ומבלי ששימוש זהיר יוכל למנוע את הפגיעה.
נראה כיצד ניתן לעקוף גלישה זהירה ושיטות הגנה מסורתיות השומרות עלינו בשעת גלישה באתר הבלוגים החביב עלינו מבית הקפה השכונתי (כגון אלו שמציעה Microsoft), זאת תוך שימוש בטכנולוגיות אקטיביות. נראה כיצד התקפה כזאת יכולה לגנוב מידע לגבי היסטוריית הגלישה ואף לנטר גלישה עתידית - גם כזאת שתבצע מרשתות בטוחות יותר.
התקפות מיכון עוין (Automation Attacks)
עפר שיזף, Xiom
שימוש לרעה ביישום ווב באמצעות כלים אוטומטיים הופך לבעיה מרכזית יותר ויותר של יישומי ווב. בחלק מהמקרים השימוש האוטומטי נעשה למטרות לא חוקיות בעליל כמו בתקפות Brute Force או בתקפות Denial of Service, אבל במקרים אחרים השימוש האוטומטי נעשה בתחום האפור של החוק אבל פוגע באינטרסים העסקים של בעל האתר. דוגמאות לכך הן הטיית מכרזים באמצעות רובוטים ושימוש ברובוטים במשחקי הימורים.
בהרצאה נביא וננתח דוגמאות להתקפות מסוג זה. נעקוב אחרי משחק החתול והעכבר שמנהלים התוקפים ובעלי האתרים: בעוד שהאחרונים מוסיפים הגנות שונות להתמודד עם התופעהף התוקפים משכללים את ההתקפות. לבסוף נציג רעיונות חדשים להתמודדות עם הבעיה.
מידע נוסף: מצגת
