$30 off During Our Annual Pro Sale. View Details »

Keynote at ZeroNights X (2021)

oxdef
August 25, 2021
0
76

Keynote at ZeroNights X (2021)

oxdef

August 25, 2021
Tweet

More Decks by oxdef

See All by oxdef
How to improve software security with OWASP open source initiatives
oxdef
0
110
Security Culture: Here be Hackers
oxdef
0
340
OWASP Top 10 - 2017 What’s inside?
oxdef
0
300
И разработчик станет хакером!
oxdef
0
32
Implementing Content Security Policy at a Large Scale
oxdef
0
360
Security in developer’s life: knowledge is power
oxdef
0
230
HTTPS by default - no more clear
oxdef
0
23
Web Application Security: future standards and technologies
oxdef
0
230
Content Security Policy - the panacea for XSS or placebo?
oxdef
0
240

Featured

See All Featured
The Art of Programming - Codeland 2020
erikaheidi
39
12k
Testing 201, or: Great Expectations
jmmastey
26
6.1k
Six Lessons from altMBA
skipperchong
18
2.7k
Documentation Writing (for coders)
carmenintech
55
3.4k
Robots, Beer and Maslow
schacon
154
7.7k
Designing Experiences People Love
moore
133
23k
Three Pipe Problems
jasonvnalue
89
9.3k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
239
1.2M
Making the Leap to Tech Lead
cromwellryan
120
8.2k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
1
880
Code Reviewing Like a Champion
maltzj
511
38k
The Language of Interfaces
destraynor
149
22k

Transcript

  1. 2011 <=
    APP_SECURITY
    <= 2021
    Тарас Иващенко, Ozon

    View Slide

  2. $ whoami
    • (yandex|google)://oxdef
    • Руководитель продуктовой безопасности в Ozon
    • Участник команды Московского отделения OWASP
    • Opensource-евангелист
    • Просто хороший человек
    2

    View Slide

  3. Как стать keynote-спикером на ZN
     Организовать пандемию, чтобы она покосила всех
    конкурентов
     Научиться смешно шутить :)
    3

    View Slide

  4. 4

    View Slide

  5. $ git commit -m "Fix security issue"
    • CSRF с помощью SameSite (удалили из OWASP Top
    10)
    • ClickJacking с помощью X-Frame-Options/CSP
    • Вообще все уязвимости с помощью «Next-Gen All-in-
    one AI Application Security Solutions»
    5

    View Slide

  6. Все ещё есть проблемы
    • Глобальное исправление XSS :)
    • Внедрение «Content Security Policy» (v2, v3)
    • SQLi, SSRF, вокруг протокола HTTP и парсинг URL
    • Пароли всё ещё с нами!
    • И, конечно, прибавилось новых рисков
    безопасности!
    6

    View Slide

  7. Рост рисков сторонних компонент
    • Риски «цепочки поставок»
    • Ад зависимостей в мире JavaScript/NPM
    • Атака на замену зависимостей (C#, JavaScript,
    Python)
    • OWASP Top 10 A9:2017 Использование компонент с
    известными уязвимостями
    7

    View Slide

  8. Хорошие новости?!
    • Разработчики веб-браузеров продолжают внедрять
    больше фич безопасности
    • Индустрия делает хорошую попытку с
    распространением FIDO2/WebAuthN и отказом от
    паролей
    • Багбаунти программа становится стандартным ИБ-
    контролем и каналом коммуникации с сообществом
    • У нас появились крутые ИБ-сервисы (Wallarm,
    Vulners)
    8

    View Slide

  9. 9
    Что-нибудь забыл?

    View Slide

  10. И Что Будет Дальше?
    • Продолжаем внедрять автоматизированные
    контроли в свой S-SDLC
    • Уделяем особое внимание проверке сторонних
    компонент разрабатываемых сервисов
    • Запускаем багбаунти прорамму! Там весело ;)
    • Да прибудет с вами сила!
    10

    View Slide

  11. Спасибо! Берегите
    себя!

    View Slide