Conférence OWASP : XXE – À l’assaut des analyseurs XML

OWASP Montréal organise une conférence ce jeudi.

  • PRÉSENTATEUR PRINCIPAL: Philippe Arteau
  • RÉSUMÉ: L’utilisation d’XML est fortement répandue. Le format est utilisé pour des fichiers de configuration, pour des métadonnées, pour des documents textes, et bien plus. La prise en charge de fichiers XML n’est pas sans risque. La plupart des analyseurs XML ne sont pas sécuritaires par défaut pour le traitement de fichier externe. Cette présentation fera un survol des vulnérabilités de type « Xml eXternal Entity » et de l’étendue des risques pour différents langages de programmation. Plusieurs démonstrations sont prévues.
  • BIO: Philippe est conseiller en sécurité applicative pour le Groupe Technologies Desjardins. Au quotidien, il s’occupe d’effectuer des tests d’intrusions et des revues de code. Il a découvert des vulnérabilités importantes dans plusieurs logiciels populaires incluant Google Chrome, DropBox, ESAPI et Jira.
  • QUAND: 23 Octobre 2014 à 18h00
  • OÙ: École de Technologie Supérieure Local A-3230, 1100 Rue Notre-Dame Ouest, Montréal, QC H3C 1K3
  • INSCRIPTION: http://www.eventbrite.ca/e/owasp-montreal-23-octobre-xxe-a-lassaut-des-analyseurs-xml-tickets-13426881163
  • PARTENAIRE ACADÉMIQUE: ETS – DCI http://dciets.com/

Plus d’informations sont disponibles sur le site de l’événement.

Lundi 20 octobre : MontréHack

Comme à chaque troisième lundi du mois, nous participerons à la soirée CTF organisée par MontréHack. Montréhack est la réunion mensuelle des adeptes de sécurité informatique de Montréal.

Ce mois-ci, MontréHack présente deux défis Web de niveau intermédiaire. À partir de deux applications web en apparence banales, vous devriez arriver à obtenir un accès “shell” aux différents serveurs.

Inscription gratuite mais obligatoire! Voir le site de MontréHack.

Cette semaine : Crypto & Cookies

Cette semaine, nous nous attaquerons à une mauvaise implémentation de jetons d’authentification (cookies). Pour ce faire, nous utiliserons une des machines vulnérables de PentesterLab.

Jeudi nous hébergerons nous-mêmes la machine virtuelle, mais entre temps vous êtes invités à en monter une vous-mêmes.

Quand : jeudi le 9 octobre, 18h

Lieu : M-1510, au pavillon Lassonde.

Cette semaine : injection SQL (SQLi)

Cette semaine, nous jouerons avec les injections SQL. Pour ce faire, nous utiliserons une des machines vulnérables de PentesterLab.

Jeudi nous hébergerons nous-mêmes la machine virtuelle, mais entre temps vous êtes invités à en monter une vous-mêmes. Pour plus d’information sur les injections SQL, le manuel fourni avec la VM est une bonne référence. SQLmap est également un bon logiciel pour automatiser la détection de ce type de vulnérabilité.

Quand : jeudi le 2 octobre, 18h

Lieu : M-1510, au pavillon Lassonde.

Semaine du 15 septembre : Montréhack

Comme à chaque troisième lundi du mois, nous participerons à la soirée CTF organisée par MontréHack. Montréhack est la réunion mensuelle des adeptes de sécurité informatique de Montréal.

Notez que l’activité de cette semaine demande une certaine préparation. Pour plus d’information, visitez www.montrehack.ca.

Inscription gratuite mais obligatoire! 

Rentrée 2014

Bonjour à tous et à toutes,

La session commence et il en va de même pour les activités de PolyHack. Au menu cette année, des soirées hackerspace, des conférences, des activités hors de Polytechnique (montréhack, OWASP, mtlsec) et, bien sûr, des CTF!

Nous vous invitons à venir nous rencontrer jeudi 11 septembre à 18h au L4812. La première rencontre consistera en une introduction du comité ainsi que des présentations techniques élaborées par nos membres actuels pour démystifier la sécurité informatique.

Inscrivez-vous à notre mailing list ou venez sur IRC (#polyhack_@irc.freenode.net) pour rester à jour!

Jeudi le 11 septembre, 18h~20h au L4812

Semaine prochaine : NorthSec Pré-party!

La semaine prochaine, Montréhack fait un spécial pré-northsec, avec une édition de réseautage et discussions quelques jours avant NorthSec. Du plaisir garanti avec les membres de plusieurs communautés infosec du Québec!

Outils nécessaires :

  • socialdbg
  • overflow mitigation

RSVP question de pouvoir réserver assez d’espace : EVENTBRITE

Où : Benelux Sherbrooke, 245, rue Sherbrooke Ouest
Quand : Lundi le 21 avril de 18h à 21h

Participation Nsec 2014

Bonjour à tous,

La session tire à sa fin et avec elle arrive notre évènement le plus important de l’année, le Capture the Flag NorthSec!

Les compétitions de type Capture the Flag (CTF) sont un moyen pour les professionnels et amateurs de sécurité informatique de mettre leurs talents à l’épreuve. NorthSec est une compétition Montréalaise annuelle en sécurité appliquée, qui aura lieu cette année au Marché Bonsecours de Montréal le 25, 26 et 27 avril prochain. Elle vise à augmenter le niveau technique des professionnels de la sécurité au Québec, ainsi que de permettre à ses acteurs les plus talentueux de se démarquer.

Il est donc temps de former l’équipe PolyHack qui y participera cette année. Si vous désirez en faire partie, inscrivez vos disponibilités sur le Doodle créé à cet effet (inscrire votre nom ainsi que votre adresse courriel). La compétition se déroulant durant les finaux, nous tenterons de former l’équipe en fonction de votre participation à nos évènements ainsi que de votre disponibilité. Notez que la participation avec PolyHack est gratuite, grâce à nos généreux partenaires!

[*] Pour ceux qui ne peuvent ou ne veulent pas participer à la compétition, nous vous invitons tout de même à venir au Hacker Jéopardy du samedi soir (gratuit, réservation nécessaire pour ceux qui ne sont pas inscrits à la compétition).

bonne semaine!
-=PolyHack=-