Positive Hack Days. Воронцов. Безопасность браузеров: новый взгляд (0-day)Positive Hack Days
Доклад посвящен вопросам безопасности клиентских приложений, используемых для работы в Интернете. Основной акцент сделан на исследовании механизмов кэширования и загрузки файлов в современных браузерах (IE8, IE9, Chrome, Opera, Safari, Firefox).
Приводятся схемы и примеры атак с использованием результатов исследования и уязвимостей браузеров, обнаруженных в результате подготовки материала. Рассматриваются атаки Cross Application Scripting, где браузер выступает как в роли приложения-отправителя, так и в роли целевого приложения.
Также рассматривается вопрос взаимодействия с файловой системой внешних плагинов браузеров, таких как Adobe Flash и Adobe Acrobat, и атаки, использующие этот вектор.
Безопасность сайта: мифы и реальность — Петр ВолковYandex
В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.
Positive Hack Days. Воронцов. Безопасность браузеров: новый взгляд (0-day)Positive Hack Days
Доклад посвящен вопросам безопасности клиентских приложений, используемых для работы в Интернете. Основной акцент сделан на исследовании механизмов кэширования и загрузки файлов в современных браузерах (IE8, IE9, Chrome, Opera, Safari, Firefox).
Приводятся схемы и примеры атак с использованием результатов исследования и уязвимостей браузеров, обнаруженных в результате подготовки материала. Рассматриваются атаки Cross Application Scripting, где браузер выступает как в роли приложения-отправителя, так и в роли целевого приложения.
Также рассматривается вопрос взаимодействия с файловой системой внешних плагинов браузеров, таких как Adobe Flash и Adobe Acrobat, и атаки, использующие этот вектор.
Безопасность сайта: мифы и реальность — Петр ВолковYandex
В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days
Доклад посвящен известной несколько лет атаке под названием "DNS Rebinding" ("Anti-DNS Pinning"). Суть атаки состоит в возможности обойти ограничения "Same Origin Policy" во всех современных веб-браузерах и тем самым получить доступ к любым данным, обрабатываемым в уязвимом приложении. Несмотря на богатую историю, считается, что современные средства защиты блокируют атаку, и реализовать ее на практике почти невозможно.
В докладе будут продемонстрированы практические приемы использования метода Anti-DNS Pinning для атак на корпоративные сети, системы виртуализации и защищенные внешние ресурсы, представлен инструментарий для использования уязвимости. Будут приведены реальные сюжеты получения максимального доступа к любым целевым системам в крупных гетерогенных сетях, а также возможные варианты защиты.
Битва за миллисекунды: практика ускорения веб сайтовindex.art
Как сделать сайт отзывчивее для пользователей, как ускорить появление контента на сайте чтобы пользователь не уходил с сайта, так и не дождавшись его появления.
Какой хостинг выбрать Hoster Савельев АнтонГК ФИЛАНКО
Есть множество вариантов хостинга: vps, Linux хостинг, windows хостинг, облака и т.д. Что выбрать? В презентации Антона Савельева можно найти ответы на вопросы про выбор хостинга.
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days
Доклад посвящен известной несколько лет атаке под названием "DNS Rebinding" ("Anti-DNS Pinning"). Суть атаки состоит в возможности обойти ограничения "Same Origin Policy" во всех современных веб-браузерах и тем самым получить доступ к любым данным, обрабатываемым в уязвимом приложении. Несмотря на богатую историю, считается, что современные средства защиты блокируют атаку, и реализовать ее на практике почти невозможно.
В докладе будут продемонстрированы практические приемы использования метода Anti-DNS Pinning для атак на корпоративные сети, системы виртуализации и защищенные внешние ресурсы, представлен инструментарий для использования уязвимости. Будут приведены реальные сюжеты получения максимального доступа к любым целевым системам в крупных гетерогенных сетях, а также возможные варианты защиты.
Битва за миллисекунды: практика ускорения веб сайтовindex.art
Как сделать сайт отзывчивее для пользователей, как ускорить появление контента на сайте чтобы пользователь не уходил с сайта, так и не дождавшись его появления.
Какой хостинг выбрать Hoster Савельев АнтонГК ФИЛАНКО
Есть множество вариантов хостинга: vps, Linux хостинг, windows хостинг, облака и т.д. Что выбрать? В презентации Антона Савельева можно найти ответы на вопросы про выбор хостинга.
Оранжевый - новый синий: Как портировать Chrome Extension в Firefox Extensionchaykaborya
Доклад с 4front meetup #8.
Видео здесь: https://youtu.be/-i9nNmCCFpA
В докладе речь идет о том как портировать Chrome Extension в Firefox Extension или сразу написать кросс-браузерное расширение с нуля.
Azure web apps - designing and debuggingAlexey Bokov
Проектирование и отладка веб приложений с использованием облака Microsoft Azure. Технологии для повышения отказоустойчивости и надежности веб приложений, в том числе при использовании своего хостинга.
Bdd j behave or cucumber jvm plus appium for efficient cross platform mobile ...ISsoft
Предлагаем вашему вниманию презентацию «BDD JBehave and Cucumber JVM + Appium for efficient cross-platform Mobile Automation». Этой презентацией сопровождался доклад Антона Семенченко, прочитанный 29 июня на конференции MobileOptimized 2014 в Минске.
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
Лекция Петра Волкова в Школе вебмастеров: «Как защитить свой сайт».
https://academy.yandex.ru/events/webmasters_school/yawebm2015/
Актуальные типы угроз и динамика их развития
Компрометация сервера и её последствия. Распределённые атаки типа «отказ в обслуживании». Подмена или добавление рекламы на стороне клиента. Атаки, направленные на пользователей. Проблемы, связанные со внешним содержимым.
Управление рисками безопасности веб-сайтов
Разные типы сайтов подвержены разным типам рисков информационной безопасности. Понимание целей и подходов злоумылшенников как ключ к эффективному снижению рисков. Методы монетизации атак на сайты.
Доступный инструментарий и методики для обеспечения безопасности
Открытые инструменты форензики для типовых и сложных проектов. Системы обнаружения вторжений, подходы к проектированию безопасности в архитектуре и процессах.
https://seleniumcamp.com/talk/webdriverio-puppeteer-double-gun-double-fun/
In the automation world, W3C Webdriver HTTP protocol has been successfully used for a long time. With its help, many projects and libraries in various languages have been implemented (selenide, protractor, webdriverio and thousands of others). But more and more teams decide to use Chrome Debug Protocol, in particular the Puppeteer tool. It is based on WebSockets, and has its own special features – two-way communication, ability to subscribe to events in the browser, and much more. In this talk, we will look at the capabilities of both protocols, experiment and combine them together in one project to make the browser work at full power, and take the best from both communication channels.
В мире автоматизации давным-давно успешно используют W3C Webdriver HTTP протокол. С его помощью реализовано множество проектов и библиотек на различных языках (selenide, protractor, webdriverio и тысячи других). Но так же в последнее время все больше и больше команд решают использовать Chrome Debug Protocol, в частности инструмент Puppeteer. Он основан на WebSockets, и имеет свои особые возможности - двухсторонняя связь, возможность подписки на события в браузере, и многое другое. В этом докладе мы посмотрим возможности обоих протоколов, поэкспериментируем и совместим их вместе в одном проекте, чтобы заставить браузер работать на полную и взять лучшее от двух каналов связи.
Разработка мобильного и веб интерфейса для CachéInterSystems CEE
Клиент, сервер и их взаимодействие, разработка веб и мобильных приложений, Лебедюк Эдуард /
Client & server overview & communication between them, how to develop mobile apps based on existing webapp, Eduard Lebedyuk
Как создавался интернет и почему он похож на один большой костыль?
Как развитие интернета способствовало развитию уязвимостей и как это в спешке пытаются (но это не точно) все исправить.
Почему попытки классификации уязвимостей выглядят смешно?
Почему практически все, что нас окружает - плохо и как с этим жить дальше?
Zeronights 2016 | A blow under the belt. How to avoid WAF/IPS/DLP | Удар ниже...Дмитрий Бумов
There are regular and smart firewalls. The regular ones are quite clear, it was a good report on the latest Black Hat. However, we need a completely different approach to come round advanced protection.
Есть фаерволы на регулярных выражениях, а есть умные. Если с первыми все понятно — был отличный доклад на последнем Black Hat, то чтобы обойти современную защиту, нужно иметь совершенно другой подход!
пресс конференция 15.06.2016. безопасность платежных систем и банковДмитрий Бумов
В мире, где предоставление услуг коммерческими организациями и государственными ведомствами реализуется через сеть Интернет, обеспечение доступности, защита от взломов и подмены контента на веб-ресурсе становится важной задачей, за невыполнение которой могут “полететь головы с плеч” специалистов служб информационной безопасности. Несмотря на усилия ИБэшников и разработчиков средств веб-защиты, в гонке «ИТ-вооружения» обороняющаяся сторона традиционно занимает догоняющую позицию, количество атак год от года растет, меняются вектора и подходы к их организации.
7. Прочие параметры
• Возможность вибрации
• Акселерометр
• Поддержка multi-touch
• Работа с медиа
• Поддержка геймпада/bluetooth/usb
• Возможность интеграции стороннего поиска
• Поддержка уведомлений
Куча их
10. WebGL
• Поддержка технологий
• Тип рендера
• Глубина цвета
• Параметры шейдеров
• Максимальные текстуры
• Размер буфера
• webgl_debug_renderer_info
15. HSTS
• Специальный заголовок, в котором браузер
запоминает, что заходить на этот ресурс нужно
только по https
• Делается это передачей специального заголовка
сайту - Strict-Transport-Security
• Strict-Transport-Security ставится на время, которое
указано в заголовке
16. Пользователь Вася – посетитель сайта.
Он уже зашел в наше веб-приложение, у него есть
идентификатор сессии.
Этот идентификатор можно дополнительно
«прошить» в браузере
18. Устанавливаем ключ
В это время браузер сам запрашивает favicon,
ответ которого перенаправляет на поддомены, с
каждым запросом убирая по одному байту
ключа.
19. Устанавливаем ключ
При посещении каждого из поддоменов
устанавливается заголовок HSTS
Strict-Transport-Security: max-age=300 (5 минут)
20. Если пользователь посещает сайт в инкогнито
Логика простая
• Если пользователь посещает домен hsts.pro его
перенаправляет на поддомен без https [0-f].hsts.pro
• Если пользователь заходит по https, к поддомену
добавляется новая буква.
27. Бот или не бот?
• Классическая JS нагрузка
• Использование SSL библиотеки и ее настроек для
установки SSL соединения*
• Используемая версия протокола HTTP
28. Бот или не бот?
• Порядок заголовков и вообще какие заголовки есть*
• Особенности разбора html в браузерах**
**(например <svg><script xlink:href="data:,alert(1)"/></svg> -
выполнится в firefox, а в других браузерах – нет)