WEB - безопасность: От базовых принципов до особенностей PHP - Александр Макаров

Хакер

Основная мысль доклада Александра легко умещается в коротком тезисе: «фильтруй вход, экранируй выход». Под «входом» понимаются различные формы, файлы, заголовки HTTP, под «выходом» — браузер, консоль, базы данных.
Опираясь на этот тезис, Александр подробно рассказал о популярных угрозах в Сети, а так же предложил варианты решения проблем, связанных с ними.

К типичным угрозам спикер отнес: XSS, CSRF и DDoS атаки, небезопасный конструктор include, механизм обмана пользователей Clickjacking.
Довольно большую часть своего выступления Александр посвятил проблеме взлома паролей и последствиям этого взлома. Важно понимать, подчеркнул Александр, что, если произошла утечка базы — главное в этом случае а) устранить источник утечки, б) инвалидировать hash и в) попросить пользователей сменить ВСЕ пароли, чтобы лишить злоумышленников возможности использовать полученную информацию.
Немаловажным в процессе защиты проекта от взлома является человеческий фактор. Довольно часто приходится сталкиваться с тем, что и админы ошибаются. Типичные ошибки админов связаны с саппортом программ без предварительной проверки, раздачей прав на продакшн всем разработчикам компании, торчащей наружу memcached. Так же нужно помнить, что люди могут терять флешки, ноутбуки, телефоны — носители, на которых обычно хранится самая важная и ценная информация.

В завершении своего выступления Александр дал ссылки на те ресурсы, где можно подробнее почитать о WEB-безопасности, вот они:
1. OWASP testing guide
2. статьи и книги Мартина Фаулера про безопасность
3. secure.php.net/manual/ru/security.php
4. Q

Как провести тестирование на безопасность Web application - Святослав Логин. QA Fest 2017

Хакер

В своем докладе на практических примерах поведаю вам, как проводить поиск различных видов уязвимостей для улучшения безопасности веб-приложений. Специальными гостями нашей программы будут:
— xss
— sql injection
— man in the middle
— brute force

Катеория: Нефункциональное тестирование

Презентация: www.slideshare.net/QAFest/qa-fest-2017-web-application
Наш Фейсбук: www.facebook.com/QAFest/
Наш сайт: qafest.com/

Хотите узнать больше?
Приходите на QA Fest 2020 в Киеве!
25-26 сентября вы встретите более 50 спикеров из 10 стран, которые поделятся реальными кейсами и опытом в тестировании ПО. Билеты: bit.ly/3bISkuO
И не забывайте, что QA Fest — это не только конференция, но и фестиваль тестирования!

Расширенный курс по взлому веб-приложений (день 1)

Хакер

Авторы представят обзор различных атак на веб-приложения, которые могут встретиться как при проведении профессионального аудита безопасности, так и при поиске уязвимостей в рамках bug bounty. Воркшоп будет интересен как новичкам, так и опытным специалистам, желающим повысить свою квалификацию. Участникам будут даны тестовые задания для проверки полученных навыков.

Любое использование данного материала без прямого разрешения АО «Позитив Текнолоджиз» запрещено.

Безопасность Android-приложений. Доклад Дмитрия Лукьяненко на Mobile Camp

Хакер

В докладе будет рассказано о проблемах безопасности Android-приложений. Cпособы защиты известны многим, однако на практике к ним прибегают далеко не всегда. Все описанные способы атак использовались в популярных (более 1 млн установок) приложениях. В первой части доклада речь пойдёт о наиболее очевидных уязвимостях (exported services, broadcastreceivers, activities, providers). Во второй — о нетривиальных и малоизвестных способах обхода защиты.
Категория

Архитектура веб приложений: экстерьер

Хакер

Рассказ об популярной универсальной архитектуре стека, в котором работает веб-приложение. Само приложение может быть написано на разных языках с использованием разных фреймворков. В данном случае это не сильно важно, так как архитектура программной инфраструктуры (технологического стека), в которой работает приложение, отличается мало.

Затрагиваются вопросы масштабирования и отказоустойчивости. Речь идет о приложениях со средними и относительно большими нагрузками, где есть место универсальным решениям. Для систем, где нагрузки особо большие, существуют другие более кастомные архитектуры, которые тут не упоминаются.

Системы уникализации и идентификации пользователей в сети - Дмитрий Момот, HackIT-2017

Хакер

ytimg.preload(https://r11---sn-axq7sn7s.googlevideo.com/generate_204);ytimg.preload(https://r11---sn-axq7sn7s.googlevideo.com/generate_204?conn2);Системы уникализации и идентификации пользователей в сети — Дмитрий Момот, HackIT-2017 — YouTube<link rel=«alternate» type=«application/json oembed» href=«www.youtube.com/oembed?format=json