Основная мысль доклада Александра легко умещается в коротком тезисе: "фильтруй вход, экранируй выход". Под "входом" понимаются различные формы, файлы, заголовки HTTP, под "выходом" - браузер, консоль, базы данных.
Опираясь на этот тезис, Александр подробно рассказал о популярных угрозах в Сети, а так же предложил варианты решения проблем, связанных с ними.
К типичным угрозам спикер отнес: XSS, CSRF и DDoS атаки, небезопасный конструктор include, механизм обмана пользователей Clickjacking.
Довольно большую часть своего выступления Александр посвятил проблеме взлома паролей и последствиям этого взлома. Важно понимать, подчеркнул Александр, что, если произошла утечка базы - главное в этом случае а) устранить источник утечки, б) инвалидировать hash и в) попросить пользователей сменить ВСЕ пароли, чтобы лишить злоумышленников возможности использовать полученную информацию.
Немаловажным в процессе защиты проекта от взлома является человеческий фактор. Довольно часто приходится сталкиваться с тем, что и админы ошибаются. Типичные ошибки админов связаны с саппортом программ без предварительной проверки, раздачей прав на продакшн всем разработчикам компании, торчащей наружу memcached. Так же нужно помнить, что люди могут терять флешки, ноутбуки, телефоны - носители, на которых обычно хранится самая важная и ценная информация.
В завершении своего выступления Александр дал ссылки на те ресурсы, где можно подробнее почитать о WEB-безопасности, вот они:
1. OWASP + testing guide
2. статьи и книги Мартина Фаулера про безопасность
3. https://secure.php.net/manual/ru/security.php
4. Q&A на Stack Exchange
involta events - твой путеводитель в мире IT
Опираясь на этот тезис, Александр подробно рассказал о популярных угрозах в Сети, а так же предложил варианты решения проблем, связанных с ними.
К типичным угрозам спикер отнес: XSS, CSRF и DDoS атаки, небезопасный конструктор include, механизм обмана пользователей Clickjacking.
Довольно большую часть своего выступления Александр посвятил проблеме взлома паролей и последствиям этого взлома. Важно понимать, подчеркнул Александр, что, если произошла утечка базы - главное в этом случае а) устранить источник утечки, б) инвалидировать hash и в) попросить пользователей сменить ВСЕ пароли, чтобы лишить злоумышленников возможности использовать полученную информацию.
Немаловажным в процессе защиты проекта от взлома является человеческий фактор. Довольно часто приходится сталкиваться с тем, что и админы ошибаются. Типичные ошибки админов связаны с саппортом программ без предварительной проверки, раздачей прав на продакшн всем разработчикам компании, торчащей наружу memcached. Так же нужно помнить, что люди могут терять флешки, ноутбуки, телефоны - носители, на которых обычно хранится самая важная и ценная информация.
В завершении своего выступления Александр дал ссылки на те ресурсы, где можно подробнее почитать о WEB-безопасности, вот они:
1. OWASP + testing guide
2. статьи и книги Мартина Фаулера про безопасность
3. https://secure.php.net/manual/ru/security.php
4. Q&A на Stack Exchange
involta events - твой путеводитель в мире IT
- Категория
- Как сбросить apple watch
Комментариев нет.
Следующее
-
1:08:16
Продажи Бизнес тренер ЭССЕНС Аксенов Александр
-
06:37
Samsung Galaxy S10 - 10 ОСОБЕННОСТЕЙ О КОТОРЫХ ВЫ НЕ ЗНАЛИ!
-
52:41
Linux Kernel Extension for Databases / Александр Крижановский (Tempesta Technologies)
-
22:09
Александр Мец, "Биометрическая идентификация в мобильных решениях"
-
1:20:52
Александр Ларин – Профессиональная travel-видеосъемка на iPhone (Казань)
-
50:25
Обзор ТРЕНДОВЫХ ТОВАРОВ этого года для продажи. Александр Федяев
-
58:06
Обзор трендовых товаров для продажи на одностраничных сайтах #43 | Александр Федяев
-
24:39
7 классы Информатика Молчанов Юрий Александр
-
58:06
Обзор трендовых товаров для продажи на одностраничных сайтах #43 | Александр Федяев
-
03:28
Безопасность и шифрование в Mac OS Lion
-
04:12
Почему экран iPhone долго отключается при блокировке?
