Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Bezpečnost webových aplikací
Search
Jirka "Jurri" Jansa
June 06, 2019
Programming
0
240
Bezpečnost webových aplikací
Bezpečnost webových aplikací převážně pohledem OWASP.
Jirka "Jurri" Jansa
June 06, 2019
Tweet
Share
More Decks by Jirka "Jurri" Jansa
See All by Jirka "Jurri" Jansa
ChatGPT pro produktivitu
jurri
0
21
TM Caffè: Github Copilot
jurri
0
27
Interní DX: Kutil Tim v každém z nás
jurri
0
140
Mob and Pair programming 2021 Edition (CZ)
jurri
0
64
Hardware očima vývojáře aplikací (2021)
jurri
0
50
Testujte svou pravou DB
jurri
0
22
Other Decks in Programming
See All in Programming
サイコロで理解する統計的仮説検定の考え方
tatamiya
4
1k
"config" ってなんだ? / What is "config"?
okashoi
0
330
SwiftUIで使いやすいToastの作り方 / How to build a Toast system which is easy to use in SwiftUI
lovee
3
170
新宿ダンジョンを可視化してみた
satoshi7190
3
390
禅の心を手に入れよ
eltociear
1
380
Next.js App Router
quramy
12
1.8k
Going beyond Apache Parquet's default settings
xhochy
0
130
AWS CDKコントリビュートTIPS / aws-cdk-contribution-tips
gotok365
4
400
CA.swift19 恋するAIアプリ開発の裏側
oskmr
0
380
業務ツールとして使うPostman
msys75
0
110
『Railsオワコン』と言われる時代に、なぜブルーモ証券はRailsを選ぶのか
free_world21
1
370
DMMプラットフォームがTiDB Cloudを採用した背景
pospome
9
4.3k
Featured
See All Featured
Visualization
eitanlees
137
14k
Building Adaptive Systems
keathley
32
1.9k
What's new in Ruby 2.0
geeforr
337
31k
The Mythical Team-Month
searls
216
42k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
WebSockets: Embracing the real-time Web
robhawkes
59
7k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
6.9k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
126
32k
The Straight Up "How To Draw Better" Workshop
denniskardys
228
130k
Adopting Sorbet at Scale
ufuk
69
8.6k
From Idea to $5000 a Month in 5 Months
shpigford
378
45k
RailsConf 2023
tenderlove
9
560
Transcript
Bezpečnost webových aplikací Jirka Jansa, 2019
zranitelnosti infrastruktura, data, kód, lidi, firmy
zranitelnosti kódu katalog CVE, CWE, skóre CVSS, databáze NVD https://nvd.nist.gov
penetrační testy
ethical hacking https://hackerone.com hacking
red teaming
prevence
OWASP The Open Web Application Security Project https://owasp.org
top 10 injekce, XSS, CSRF, rozbitá autentizace, protokol, citlivá data,
... https://github.com/OWASP/Top10 OWASP
juice shop záměrně děravá aplikace http://owasp-juice.shop OWASP
OWTF Offensive Web Testing Framework https://github.com/owtf/owtf OWASP
ASVS The Application Security Verification Standard https://github.com/OWASP/ASVS OWASP
dependency-check plugin pro maven, gradle, jenkins, sonarqube... https://github.com/jeremylong/DependencyCheck OWASP
security guides testing, developer, code review, ... https://github.com/OWASP/OWASP-Testing-Guide-v5 OWASP
cheatsheets https://github.com/OWASP/CheatSheetSeries OWASP
SAMM Software Assurance Maturity Model https://owaspsamm.org OWASP
legislativa především č. 181/2014 Sb. (kybernetický zákon) https://govcert.cz/cs/regulace-a-kontrola/legislativa
rychlý návod… ...jak to alespoň nezkonit
1. infrastruktura automatizace, updates, ops vs. hotové řešení (cloud)
2. data bezpečné algoritmy, minimální práva
3. kód dependency-check, statická analýza, pentesty, ASVS
4. lidi školení, konference, prostor pro učení, red teaming
5. firmy SAMM
jak moc, ne jestli je aplikace bezpečná?