Glaysson Tomaz

Glaysson Tomaz atua na área de segurança há cerca de 9 anos. Nesse tempo tem focado sobretudo em segurança ofensiva, realizando teste de intrusão nos mais diversos ambientes (mobile, cliente-servidor, web, infraestutura, wifi, scada, ATM's), modelagem de ameaças e revisão de código fonte. Além disso, do lado defensivo ou proativo, tem larga experiência como instrutor de treinamentos de desenvolvimento seguro, tendo treinado milhares de desenvolvedores em grandes empresas em diferentes setores da indústria. Interessado também em pesquisa de segurança em IoT já identificou dezenas de falhas nos maiores fabricantes do mercado. Hoje atua como especialista em segurança de aplicações na Conviso Application Security.

Palestra: Attacking Python Applications

A adoção de Python para desenvolvimento de aplicações (não só web) cresceu consideravelmente nos últimos anos, sobretudo com a popularização de frameworks como o Django, Web2py, Turbogears dentre outros. No entanto, assim como acontece com outras tecnologias, esse novo cenário traz consigo, além de agilidade e inovação, também novas preocupações, sobretudo no que diz respeito à complexificação e ampliação da superfície de ataque. Essa palestra tem por objetivo apresentar técnicas de ataque a aplicações Python, onde serão discutidas desde questões relacionadas à arquitetura, fragilidades dos frameworks, armadilhas da própria linguagem, vulnerabilidades de bibliotecas, assim como novas técnicas que abusam de vetores decorrentes de má implementação. Uma dessas técnicas (XPUX), que representa a base da pesquisa, foi pouco ou ainda não explorada em profundidade, um vetor existente em outras linguagens, porém consideravelmente mais perigoso em Python.