Kurzbeschreibung (short description): |
Der Kurs vertieft in drei Tagen die im Vorgängerkurs behandelten Themen.
- Wie findet man ein Deserialisierungs-Gadget?
- Welche fortgeschrittenen Methoden für RMI-Exploitation gibt es?
- Welche Möglichkeiten gibt es, wenn andere Standardverfahren nicht durchführbar
sind?
Mit diesem Kurs können Sie Ihre Fähigkeiten der Java-Exploitation auf Experten-Niveau bringen. Außerdem werden Grundlagen der statischen und dynamischen Code-Analyse behandelt. Aufgrund des fortgeschrittenen Niveaus sind hier zumindest Java-Grundkenntnisse erforderlich.
|
|

Zielgruppe (target group): |
Penetration Tester
|
|

Voraussetzungen (requirements): |
Vorherige Teilnahme an JA110 Penetration Testing Java.
Alternativ: Fortgeschrittene Erfahrung im Pentesting und Programmierkenntnisse in Java oder zumindest einer anderen Programmiersprache.
|
|

Ziele (objectives): |
Der Kurs bringt Pentester auf Experten-Niveau im Bereich Java-Exploitation. Sie werden in die Lage versetzt, Methoden anzuwenden die weit über Standardverfahren hinausgehen.
|
|

Preis und Dauer (price and duration): |
Dauer (duration): 3 Tage
Preis (price): 1790,- Euro zzgl. MwSt. Diese Schulung kann sowohl in-house als Spezialtraining für Ihr Team, als auch als Präsenzveranstaltung durchgeführt werden.
Eine Druckansicht dieses Workshops finden Sie hier.
|
|

Termine (dates): |
Dieser Workshop findet an folgenden Terminen statt:
|
|
 |
Inhalte (agenda): |
- Fortgeschrittene Techniken bei der Java-Deserialisierung
- Enumerieren des CLASSPATHs
- Ändern der serialVersionUID
- Bypass-Gadgets
- "Handcrafted" Gadgets
- Fortgeschrittene Techniken bei RMI- und JMX-Exploitation
- Exploitation von RMI Endpunkten
- Bedeutung von JEP290
- Bruteforcing von RMI-Methoden
- Weitere Angriffsvektoren auf JMX
- Dynamische und statische Code-Analyse
- Statische Code-Analyse mit Eclipse
- Andere Decompiler
- Bytecode-Manipulation bei dynamischer Code-Analyse
- Detaillierte Analyse von drei aktuellen Schwachstellen
- Die Auswahl erfolgt spontan im Kurs, um den Wünschen der Teilnehmer und dem Verlauf des Trainings bestmöglich Rechnung zu tragen
|
|
 |