Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Михаил Щербаков «Разрушители легенд: web-безопасность»

DotNetRu
February 09, 2017
Programming
0
29

Михаил Щербаков «Разрушители легенд: web-безопасность»

Такого выпуска не хватало на Discovery, так сделаем его вместе! Поговорим про интересные атаки и уязвимости в web-приложениях. Обсуждать будем НЕ банальные: «Linux безопаснее Windows», «Антивирус защищает от всех угроз» и т.д., а вполне конкретные технологии и атаки на них: HTTPS, XSS, XML Injection, использование криптографии с использованием примеров .NET приложений.

Михаил покажет несколько демо развенчивающие мифы ИБ, которые он не раз слышал от web-программистов. Материал будет интересен в первую очередь разработчикам, пишущим защищенные web-приложения. Если у вас тоже есть чем поделиться, приносите ноутбук с демонстрацией «своего» мифа, разберём вместе.

DotNetRu

February 09, 2017
Tweet

More Decks by DotNetRu

See All by DotNetRu
Кирилл Лихтарович «Версионирование и кодогенерация в REST API»
dotnetru
0
190
Дмитрий Бабушкин «Мержилка .sln: быстро и надёжно, без UI и юнит-тестов»
dotnetru
0
120
Артём Микулич «Как интегрироваться с (не-)надёжным third-party API при помощи Polly»
dotnetru
0
120
Иван Патудин «gRPC и его реализация в .NET Core»
dotnetru
0
440
Дмитрий Павлов «Greenplum: Быстро, параллельно, консистентно»
dotnetru
0
230
Филипп Бочаров «Распределенная трассировка Jaeger в .NET»
dotnetru
0
260
Андрей Сергеев "Вопросы nullabilily в платформе .NET, применение функционального подхода в разработке с использованием типов Unit, Tagged Union, Optional, Result, разделение исключительных ситуаций и ожидаемых результатов при обработке ошибок."
dotnetru
0
130
Павел Московой "Работа с HTTP в платформе .NET, собственный движок для работы с HTTP, использующий функциональный подход на основе типа Result для обработки HTTP-ответа вместо исключений."
dotnetru
0
100
Сергей Огородников "Практика построения сервисов на основе ViennaNET"
dotnetru
0
110

Other Decks in Programming

See All in Programming
What We Can Learn From OSS
inouehi
0
440
Deep Dive into React Stream/Serialize
mugi_uno
3
660
Domain-Driven Transformation
hschwentner
2
1.5k
Code Reviews
bkuhlmann
4
900
Ruby Function Composition
bkuhlmann
1
340
Going beyond Apache Parquet's default settings
xhochy
0
130
AppRouter Panel Talk
yosuke_furukawa
PRO
1
460
Node.js v22 で変わること
yosuke_furukawa
PRO
11
3.9k
Goのエラースタックトレースの歴史と今後
sonatard
10
1.8k
サイコロで理解する統計的仮説検定の考え方
tatamiya
4
1k
Fast JSX: Don't clone props object #28768
yossydev
1
180
大規模UIKitベースアプリへのTCAの段階的導入/gradual-adoption-of-tca-in-a-large-scale-uikit-based-app
takehilo
2
210

Featured

See All Featured
Thoughts on Productivity
jonyablonski
60
3.9k
Done Done
chrislema
178
15k
Bootstrapping a Software Product
garrettdimon
PRO
302
110k
Building Applications with DynamoDB
mza
88
5.6k
Building Better People: How to give real-time feedback that sticks.
wjessup
356
18k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
We Have a Design System, Now What?
morganepeng
43
6.8k
Why You Should Never Use an ORM
jnunemaker
PRO
51
8.7k
For a Future-Friendly Web
brad_frost
172
9k
How to name files
jennybc
65
93k
Statistics for Hackers
jakevdp
790
220k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
660
120k

Transcript

  1. Web Application Security Михаил Щербаков

  2. Обо мне  IT безопасность: статический и динамический анализ кода,

    безопасность web-приложений  IT конференции: спикер, соорганизатор .NET митапов в Санкт-Петербурге и Москве, член программного комитета DotNext  Microsoft .NET Most Valuable Professional (MVP)  Удаленная работа: Top Rated фрилансер на Upwork, больше года в свободном плаванье  Учился/работал: ПГТА, Парус-Пенза, НПФ КРУГ, Luxoft, Boeing, Acronis, Positive Technologies, Cezurity  Хобби: бег, виндсерфинг, самостоятельные путешествия #2

  3. О чем пойдет речь?  Системный подход к разработке защищенных

    web- приложений #3

  4. О чем пойдет речь?  Системный подход к разработке защищенных

    web- приложений https://www.youtube.com/watch?v=mb7tcT-9VXk https://www.youtube.com/watch?v=hKatpz72EpE #3

  5. О чем пойдет речь?  Системный подход к разработке защищенных

    web- приложений https://www.youtube.com/watch?v=mb7tcT-9VXk https://www.youtube.com/watch?v=hKatpz72EpE  Мифы/ошибки/недопонимание возможностей проведения атак на web-приложения #3

  6. О чем пойдет речь?  Системный подход к разработке защищенных

    web- приложений https://www.youtube.com/watch?v=mb7tcT-9VXk https://www.youtube.com/watch?v=hKatpz72EpE  Мифы/ошибки/недопонимание возможностей проведения атак на web-приложения  Все примеры под .NET, а почему бы и нет #3

  7. Миф №1: Я использую HTTPS, значит мой сайт защищен

  8. Миф №1: Я использую HTTPS, значит мой сайт защищен

  9. Миф №1: HTTPS всегда защищает от Man-in-the-Middle атак

  10. Man-in-the-Middle (MitM)

  11. SSL Stripping https://www.youtube.com/watch?v=MFol6IMbZ7Y

  12. HTTP Strict Transport Security

  13. Обход HSTS  Black Hat Europe 2014 - Jose Selvi

    “BYPASSING HTTP STRICT TRANSPORT SECURITY” https://www.blackhat.com/eu-14/briefings.html #bypassing-http-strict-transport-security  Black Hat Asia 2014 - Leonardo Nve “OFFENSIVE: EXPLOITING DNS SERVERS CHANGES” https://www.blackhat.com/docs/asia- 14/materials/Nve/Asia-14-Nve-Offensive-Exploiting- DNS-Servers-Changes.pdf

  14. Доверенные корневые сертификаты. Ты им всем доверяешь?

  15. Центры сертификации  Нарушения стандартов WoSign и StartCom  Атаки

    на COMODO, DIGINOTAR, GLOBALSING  И другие инциденты https://git.cryto.net/joepie91/ca-incidents

  16. HTTPS защищает опытных пользователей от массового перехвата трафика часто используемого

    web-ресурса

  17. Миф №2: Последняя версия JQuery не уязвима к XSS атакам

  18. Reflected XSS

  19. JQuery Demo

  20. Миф №3: XSS на мало посещаемом ресурсе неопасна! - Да

    сюда пользователи не ходят - Этот сайт не работает с конфиденциальными данными - Все наши cookies c HttpOnly

  21. CSRF via XSS

  22. Session Fixation Demo

  23. Миф №4: Нельзя проэксплуатировать XMLi/XXE, если я не возвращаю ничего

    пользователю

  24. XML Entity #22

  25. XML External Entity #24

  26. Classic XXE Attack #25

  27. XXE Attack Demo

  28. XML Out-of-Band Data A.Osipov, T.Yunusov 2013 “XML OOB Data Retrival”

    https://youtu.be/eBm0YhBrT_c T.Morgan 2014 “XML Schema, DTD, and Entity Attacks” http://bit.ly/2h6wtTH #29

  29. Billion Laughs Attack #23

  30. Как исправить?  Prohibit DTD processing  Nullify references to

    resolvers  Utilize a secure resolver  Limit expansion size and set default timeouts #31

  31. Итог  OWASP Top Ten Project 2013 http://bit.ly/1OffewO  SSL

    and TLS Deployment Best Practices http://bit.ly/2aSNEEg  OWASP Developer Guide http://bit.ly/1JcQLoh  OWASP .NET Security Cheat Sheet http://bit.ly/2h2fDrQ  Tom FitzMacken “What not to do in ASP.NET, and what to do instead” http://bit.ly/2h2sfyU #43

  32. Спасибо! Михаил Щербаков linkedin.com/in/mikhailshcherbakov spbdotnet.org mskdotnet.org @yu5k3 Независимый разработчик и

    консультант