Suomen ensimmäinen tapahtuma, jossa murtaudutaan luvallisesti oikeisiin järjestelmiin
13.6.2016 klo 14-20 Solita, Helsinki
Kyseessä on ensimmäinen Suomessa järjestettävä penetraatiotestaustapahtuma, jossa murtaudutaan luvallisesti tuotantokäytössä oleviin suomalaisiin tietojärjestelmiin.
WebHackissa oli luvallista yrittää yksin tai yhteistyössä muiden kanssa tunkeutumista tietojärjestelmiin, joita olemme rakentaneet asiakkaillemme. Järjestelmät ovat selainpohjaisia client-server ratkaisuja, jotka ovat asiakkaillamme tuotantokäytössä. Testaus suoritetaan erillisessä testiympäristössä. Järjestelmien toteutusteknologioihin kuuluu mm. Node.js, AngularJS, Javascript, Clojure, Java, PostgreSQL, MariaDb ja paljon muuta.
Tapahtuma onnistui hyvin ja joistakin järjestelmistä löytyi ongelmia, jotka olemme korjanneet tapahtuman jälkeen. Lämpimät kiitokset kaikille osallistujille, mutta erityisesti haluamme kiittää seuraavia henkilöitä relevanteista tietoturvahavainnoista:
Jarmo Puttonen (@putsi_), Harri Kuosmanen, Ville Vuorenmaa, Daniel Landau, Niklas Särökaari
Yksi löydetyistä ongelmista oli SQL-injektio Spring Data -kirjastossa. Tämä on nyt korjattu uudessa Springin versiossa. Lisätiedot: CVE-2016-6652 ja Proof-of-Concept GitHubissa.
Tarvittaessa voit kysyä lisätietoja tapahtumasta Katilta (kati.kitti(a)solita.fi).