Download to read offline
Uploaded byMikhail Shcherbakov
Mythbusters - Web Application Security
Документ представляет собой резюме Михаила Щербакова, эксперта в области безопасности веб-приложений и статического/динамического анализа кода, который является активным участником IT-сообществ и фрилансером на Upwork. Он делится важной информацией о системном подходе к разработке защищенных веб-приложений и развенчивает мифы о безопасности, такие как необходимость использования HTTPS и уязвимости популярных технологий. В документе также содержатся ссылки на обучающие видео и ресурсы для дальнейшего изучения темы.
More Related Content
Similar to Mythbusters - Web Application Security
Mythbusters - Web Application Security
- 1. Web Application Security МихаилЩербаков
- 2. Обо мне ITбезопасность: статический и динамический анализ кода, безопасность web-приложений IT конференции: спикер, соорганизатор .NET митапов в Санкт-Петербурге и Москве, член программного комитета DotNext Microsoft .NET Most Valuable Professional (MVP) Удаленная работа: Top Rated фрилансер на Upwork, больше года в свободном плаванье Учился/работал: ПГТА, Парус-Пенза, НПФ КРУГ, Luxoft, Boeing, Acronis, Positive Technologies, Cezurity Хобби: бег, виндсерфинг, самостоятельные путешествия #2
- 3. О чем пойдетречь? Системный подход к разработке защищенных web- приложений #3
- 4. О чем пойдетречь? Системный подход к разработке защищенных web- приложений https://www.youtube.com/watch?v=mb7tcT-9VXk https://www.youtube.com/watch?v=hKatpz72EpE #3
- 5. О чем пойдетречь? Системный подход к разработке защищенных web- приложений https://www.youtube.com/watch?v=mb7tcT-9VXk https://www.youtube.com/watch?v=hKatpz72EpE Мифы/ошибки/недопонимание возможностей проведения атак на web-приложения #3
- 6. О чем пойдетречь? Системный подход к разработке защищенных web- приложений https://www.youtube.com/watch?v=mb7tcT-9VXk https://www.youtube.com/watch?v=hKatpz72EpE Мифы/ошибки/недопонимание возможностей проведения атак на web-приложения Все примеры под .NET, а почему бы и нет #3
- 7. Миф №1: Яиспользую HTTPS, значит мой сайт защищен
- 8. Миф №1: Яиспользую HTTPS, значит мой сайт защищен
- 9. Миф №1: HTTPSвсегда защищает от Man-in-the-Middle атак
- 10.
- 11.
- 12. HTTP Strict TransportSecurity
- 13. Обход HSTS BlackHat Europe 2014 - Jose Selvi “BYPASSING HTTP STRICT TRANSPORT SECURITY” https://www.blackhat.com/eu-14/briefings.html #bypassing-http-strict-transport-security Black Hat Asia 2014 - Leonardo Nve “OFFENSIVE: EXPLOITING DNS SERVERS CHANGES” https://www.blackhat.com/docs/asia- 14/materials/Nve/Asia-14-Nve-Offensive-Exploiting- DNS-Servers-Changes.pdf
- 14. Доверенные корневые сертификаты. Тыим всем доверяешь?
- 15. Центры сертификации Нарушениястандартов WoSign и StartCom Атаки на COMODO, DIGINOTAR, GLOBALSING И другие инциденты https://git.cryto.net/joepie91/ca-incidents
- 16. HTTPS защищает опытныхпользователей от массового перехвата трафика часто используемого web-ресурса
- 17. Миф №2: Последняяверсия JQuery не уязвима к XSS атакам
- 18.
- 19.
- 20. Миф №3: XSSна мало посещаемом ресурсе неопасна! - Да сюда пользователи не ходят - Этот сайт не работает с конфиденциальными данными - Все наши cookies c HttpOnly
- 21.
- 22.
- 23. Миф №4: Нельзя проэксплуатироватьXMLi/XXE, если я не возвращаю ничего пользователю
- 24.
- 25.
- 26.
- 27.
- 28. XML Out-of-Band Data A.Osipov,T.Yunusov 2013 “XML OOB Data Retrival” https://youtu.be/eBm0YhBrT_c T.Morgan 2014 “XML Schema, DTD, and Entity Attacks” http://bit.ly/2h6wtTH #29
- 29.
- 30. Как исправить? ProhibitDTD processing Nullify references to resolvers Utilize a secure resolver Limit expansion size and set default timeouts #31
- 31. Итог OWASP TopTen Project 2013 http://bit.ly/1OffewO SSL and TLS Deployment Best Practices http://bit.ly/2aSNEEg OWASP Developer Guide http://bit.ly/1JcQLoh OWASP .NET Security Cheat Sheet http://bit.ly/2h2fDrQ Tom FitzMacken “What not to do in ASP.NET, and what to do instead” http://bit.ly/2h2sfyU #43
- 32.