<div dir="ltr"><div>Hi all,</div><div><br></div><div>Thursday 28 May will see the first of our free series of workshops based on OWASP's most well known flagship project, the OWASP Top 10 (2013) <a href="https://www.owasp.org/index.php/Top10">https://www.owasp.org/index.php/Top10</a>. The goal of these workshops is to learn by doing, which is usually the best approach to learning anything. In that light, we will speak a little about each of the areas from the Top 10, then take that learning to the next level by attacking vulnerable sites and investigating vulnerable code and configurations.</div><div><br></div><div>To sign up, please visit the Cork Chapter meetup site for this event:</div><div><a href="http://www.meetup.com/OWASP-Cork/events/222552193/">http://www.meetup.com/OWASP-Cork/events/222552193/</a> <br></div><div><br></div><div>Note: To get the most out of these workshops, it would be best to bring your own laptop. This should have >1 GB of RAM, >5 GB of free storage and a reasonably fast processor. Failing these laptop requirements we could probably work around it, but this would be best for following the standard approach that will be taken by most.</div><div><br></div><div>This month's workshop will be divided into three phases: </div><div><br></div><div>1. Setting Up Your Test Environment</div><div><br></div><div>To start the night we will define test environments at a high level and then help you to configure VirtualBox with a hacking / penetration testing specific virtual machine, namely Kali Linux. Kali will provide a tailored, pre-configured environment for testing and comes pre-populated with a vast array of tools for all your hacking needs! If you just bring your laptop, we will have the files ready for you to install, or if you are a paranoid security person ;) you can download in advance from here:</div><div><br></div><div><a href="https://www.virtualbox.org/wiki/Downloads">https://www.virtualbox.org/wiki/Downloads</a>  </div><div><br></div><div><a href="https://www.kali.org/downloads/">https://www.kali.org/downloads/</a> (32 bit iso)</div><div><br></div><div>2. Top 10 2013-A4-Insecure Direct Object References</div><div><br></div><div>Insecure direct object reference occurs when a web application allows the user to choose the target data for their transaction without correctly restricting to the data to which they should be privy. In a secure configuration, the target data for retrieval would be based on the particular user session, however often the data retrieval decisions are based on parameters which the user can access. E.g. you access your on-line bank account details, but manipulate the incorrectly implemented request to have the application think that you are another user, and return that other user's details.</div><div><br></div><div>We will discuss a number of varieties of this issue along with methods for avoiding it in your application code.</div><div><br></div><div><a href="https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References">https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References</a> </div><div><br></div><div>3. Practical Hands On Workshop</div><div><br></div><div>This section of the night will invoke our learning from the first two phases and put it to practical use. We take our new testing environment and use it to exploit some direct object reference vulnerabilities on a safe, intentionally vulnerable website.</div><div><br></div><div>After giving some time for individually attempting to carry out the exploitation, a walk-through of the exploit technique will be given for each of the examples outlined. The OWASP team will be at hand to help with any issues that might arise through this phase.</div><div><br></div><div>Practical elements will cover the following two perspectives so that you leave with not only an understanding of the issues but also having had hands on practice in these areas: </div><div><br></div><div>1. Defensive - Seeing vulnerable code / configurations and investigating how the issues could be rectified.</div><div><br></div><div>2. Offensive - Attacking vulnerable sites from a malicious attacker or software tester's perspective.</div><div><br></div><div>Hope to see you there!</div><div><br></div><div>Darren & Fiona (OWASP Cork Team)</div></div>