Rev3rse Defense Lab 2022

Rev3rse Defense Lab 2022

durante il Camp di RomHack 2022 si terrà il primo laboratorio defense di rev3rse security. Vedremo insieme come replicare e poi mitigare due attacchi (elencati nella OWASP Automated Threats) a un reale e-commerce basato su WooCommerce e su infrastruttura AWS.

A chi è rivolto il lab?

Se vuoi sperimentare attacchi diversi dal solito e che si incontrano spesso nella vita reale in contesto aziendale, se sei interessato ad approfondire tecniche di mitigazione usate dai grandi vendor, ma soprattutto se vuoi apprendere nuove tecniche per proteggere il tuo e-commerce, questo lab è per te.

Cos'è OWASP Automated Threats?

I siti e le applicazioni web sono spesso soggette ad "automatismi indesiderati". Questi eventi si riferiscono all'uso improprio di funzionalità, piuttosto che al tentativo di exploit di vulnerabilità. Inoltre, "l'uso improprio eccessivo" viene troppo spesso segnalato erroneamente come denial-of-service (DoS) dell'applicazione come il flooding HTTP, quando in realtà il DoS è un effetto collaterale anziché l'intento principale.

La maggior parte di questi problemi (riscontrati regolarmente dai proprietari di siti e applicazioni web) non sono elencati in nessuna Top Ten OWASP o in altri elenchi. Inoltre, non sono enumerati o definiti adeguatamente nei dizionari esistenti. Questi fattori hanno contribuito a una visibilità inadeguata e a un'incoerenza nella denominazione di tali minacce, con una conseguente mancanza di chiarezza nei tentativi di affrontare i problemi.

OWASP Automated Threats è un progetto che ha lo scopo di colmare questa mancanza, categorizzando più di 20 differenti automatismi molto comuni su siti e applicazioni web esposte.

www-project-automated-threats-to-web-applications/assets/files/EN at master · OWASP/www-project-automated-threats-to-web-applications
OWASP Foundation Web Respository. Contribute to OWASP/www-project-automated-threats-to-web-applications development by creating an account on GitHub.

Cosa faremo durante il lab?

Per iniziare, faremo una panoramica dell'infrastruttura a disposizione di tutti i partecipanti:

  • AWS Elastic Load Balancer
  • AWS ec2, come accedere, ecc...
  • Elasticsearch / Kibana
  • Nginx e i suoi super poteri
  • WooCommerce e WordPress

Saremo un gruppo di lavoro che dovrà far fronte a due incidenti di sicurezza, basandoci solo sulle nostre forze.

Per il primo incidente, analizzeremo un attacco mirato a enumerare coupon di sconto del e-commerce (categorizzato come OAT-002 Token Cracking: "Mass enumeration of coupon numbers, voucher codes, discount tokens, etc") declinato in:

  • ricreare un exploit capace di fare brute-force dei discount token
  • cercare di identificare le request automatiche
  • on-fly javascript obfuscation

Il secondo, analizzeremo un attacco volumetrico/ReDoS che genera un elevato utilizzo della CPU nell'istanza su cui è in running il sito e-commerce (categorizzato come OAT-015 Denial of Service: "arget resources of the application and database servers, or individual user accounts, to achieve denial of service (DoS)"). Nel dettaglio:

  • cosa sono i servizi di booter e stresser
  • perché sono inutili IP e Country ban
  • cercheremo di capire la natura del problema
  • JS challenge: perché è così facile mitigare booter e stresser
  • ci interfacciamo con le API di AWS per generare una challenge js direttamente su ELB e risparmiare $ e CPU

A disposizione per ogni partecipante

  • istanza AWS ec2 dedicata
  • WooCommerce dedicato

Per partecipare occorre

  • saper scrivere 2 righe di Python
  • saper scrivere 2 righe di JavaScript

Ogni argomento verrà trattato dal principio, ma soprattutto essendo un lab interattivo potremo approfondire qualsiasi aspetto. Se non ti senti "super skillato" o se stai pensando "è troppo complicato" non ti preoccupare! La forma "laboratorio" (a differenza di un talk) serve proprio a confrontarci e chiacchierare liberamente sulle tematiche.

Vuoi partecipare?


Aggiornamento del 06/09/2022:
per il momento il lab è SOLD OUT comunicheremo in questo post e sui nostri social eventuali altre disponibilità