2.  10 лекций
 3 домашних задания
 3 семинара
 экзамен
2

3. «Тот, кто еще до сражения
определяет в храме предков,
что одержит
победу, находит, что
большинство обстоятельств в
его пользу. Тот, кто
еще до сражения определяет в
храме предков, что не одержит
победу,
находит немного обстоятельств
в свою пользу»
3

4. Зарождение WWW
1990-92
1969-70
UNIX, tcp/ip
Появление PHP
1997
MySQL 3.23
1995-2000
1995-96
Интеграция js в браузеры
4

5. 5

6. «Так, умение поднять
осенний лист не может
считаться большой силой;
способность видеть луну и
солнце не может считаться
острым зрением;
способность слышать звук
грома не может считаться
тонким слухом.»
6

7. 7

8. «Если войска противника
подняты и приближаются к
нашим силам только
для того, чтобы занять
позиции и не вступать в
битву, за ними нужно
внимательно наблюдать.»
8

9. «Применение огневых атак
зависит от соответствующих
условий.
Оснащение для огневых атак
нужно полностью приготвить
до того, как
оно потребуется.»
9

10. «Поэтому из всех дел в трех
армиях нет более близких,
чем со
шпионами; нет наград более
щедрых, чем даваемые
шпионам; нет дел
более секретных, чем
касающиеся шпионов.»
10

11. 11

12. 12

13. 13

14. 14

15. Company
profit
ZDI
~$2500+
Facebook
$500+
Google
csrf - $500, rce - $20000
PayPal
sqlinj - $3000
Bounty programs list: http://goo.gl/gEFJ4
15

16. 16

17. Dump all data, leave
Inject code, leave
site
Hide and wait
Resell access
17

18. 18

19. Phishing
Trojan
Social engineering
Hacked site
USER
Reused accs
Bruteforced accs
19

20. 20

21. Социальный спам
Перс. данные
USER
Платежные данные
«виртуальная
собственность»
21

22. 22

23. 23

24. сервер
злоумышленник
сайт
обьекты
пользователи
заказы
Платежные
инструменты
24

25. сервер
злоумышленник
сайт
обьекты
пользователи
заказы
- конкурент
- хакер
- бот
Платежные
инструменты
25

26. сервер
перехват заказов
злоумышленник
сайт
обьекты
нарушение
работы
пользователи
кража денег
заказы
Платежные
инструменты
- конкурент
- хакер
- бот
получение
доступа
26

27. нарушение
работы
Сайт: форма
заказов
конкурент
сервер
27

28. нарушение
работы
Сайт: форма
заказов
Captcha
Ip blacklist
конкурент
сервер
Облако
провайдер
28

29. кража денег
Платежные
инструменты:
счета
хакер
Платежные
инструменты:
данные карт
29

30. кража денег
Платежные
инструменты:
счета
Отправка формы платежа по email
хакер
Платежные
инструменты:
данные карт
НЕ процессить карты
30

31. Получение
доступа
сайт
Хакер, бот
сервер
31

32. Получение
доступа
сайт
Поддержка обновлений П.О.
Security review кода
Ограничения аутентификации
waf, ips
Хакер, бот
сервер
Поддержка обновлений сервера
Не использовать shared hosting
Ограничения аутентификации
32

33. 33