$ whoami • (yandex|google)://oxdef • Руководитель продуктовой безопасности в Ozon • Участник команды Московского отделения OWASP • Opensource-евангелист • Просто хороший человек 2
$ git commit -m "Fix security issue" • CSRF с помощью SameSite (удалили из OWASP Top 10) • ClickJacking с помощью X-Frame-Options/CSP • Вообще все уязвимости с помощью «Next-Gen All-in- one AI Application Security Solutions» 5
Все ещё есть проблемы • Глобальное исправление XSS :) • Внедрение «Content Security Policy» (v2, v3) • SQLi, SSRF, вокруг протокола HTTP и парсинг URL • Пароли всё ещё с нами! • И, конечно, прибавилось новых рисков безопасности! 6
Рост рисков сторонних компонент • Риски «цепочки поставок» • Ад зависимостей в мире JavaScript/NPM • Атака на замену зависимостей (C#, JavaScript, Python) • OWASP Top 10 A9:2017 Использование компонент с известными уязвимостями 7
Хорошие новости?! • Разработчики веб-браузеров продолжают внедрять больше фич безопасности • Индустрия делает хорошую попытку с распространением FIDO2/WebAuthN и отказом от паролей • Багбаунти программа становится стандартным ИБ- контролем и каналом коммуникации с сообществом • У нас появились крутые ИБ-сервисы (Wallarm, Vulners) 8
И Что Будет Дальше? • Продолжаем внедрять автоматизированные контроли в свой S-SDLC • Уделяем особое внимание проверке сторонних компонент разрабатываемых сервисов • Запускаем багбаунти прорамму! Там весело ;) • Да прибудет с вами сила! 10