Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Keynote at ZeroNights X (2021)

oxdef
August 25, 2021
0
94

Keynote at ZeroNights X (2021)

oxdef

August 25, 2021
Tweet

More Decks by oxdef

See All by oxdef
How to improve software security with OWASP open source initiatives
oxdef
0
120
Security Culture: Here be Hackers
oxdef
0
400
OWASP Top 10 - 2017 What’s inside?
oxdef
0
370
И разработчик станет хакером!
oxdef
0
33
Implementing Content Security Policy at a Large Scale
oxdef
0
410
Security in developer’s life: knowledge is power
oxdef
0
270
HTTPS by default - no more clear
oxdef
0
26
Web Application Security: future standards and technologies
oxdef
0
270
Content Security Policy - the panacea for XSS or placebo?
oxdef
0
290

Featured

See All Featured
Understanding Cognitive Biases in Performance Measurement
bluesmoon
7
1k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
125
32k
Building Effective Engineering Teams - LeadDev
addyosmani
28
1.9k
Embracing the Ebb and Flow
colly
80
4.1k
4 Signs Your Business is Dying
shpigford
175
21k
Music & Morning Musume
bryan
41
5.6k
Building Your Own Lightsaber
phodgson
99
5.7k
Building an army of robots
kneath
300
41k
The Invisible Customer
myddelton
114
12k
Product Roadmaps are Hard
iamctodd
44
9.7k
A Tale of Four Properties
chriscoyier
151
22k

Transcript

  1. 2011 <= APP_SECURITY <= 2021 Тарас Иващенко, Ozon

  2. $ whoami • (yandex|google)://oxdef • Руководитель продуктовой безопасности в Ozon

    • Участник команды Московского отделения OWASP • Opensource-евангелист • Просто хороший человек 2

  3. Как стать keynote-спикером на ZN  Организовать пандемию, чтобы она

    покосила всех конкурентов  Научиться смешно шутить :) 3

  4. 4

  5. $ git commit -m "Fix security issue" • CSRF с

    помощью SameSite (удалили из OWASP Top 10) • ClickJacking с помощью X-Frame-Options/CSP • Вообще все уязвимости с помощью «Next-Gen All-in- one AI Application Security Solutions» 5

  6. Все ещё есть проблемы • Глобальное исправление XSS :) •

    Внедрение «Content Security Policy» (v2, v3) • SQLi, SSRF, вокруг протокола HTTP и парсинг URL • Пароли всё ещё с нами! • И, конечно, прибавилось новых рисков безопасности! 6

  7. Рост рисков сторонних компонент • Риски «цепочки поставок» • Ад

    зависимостей в мире JavaScript/NPM • Атака на замену зависимостей (C#, JavaScript, Python) • OWASP Top 10 A9:2017 Использование компонент с известными уязвимостями 7

  8. Хорошие новости?! • Разработчики веб-браузеров продолжают внедрять больше фич безопасности

    • Индустрия делает хорошую попытку с распространением FIDO2/WebAuthN и отказом от паролей • Багбаунти программа становится стандартным ИБ- контролем и каналом коммуникации с сообществом • У нас появились крутые ИБ-сервисы (Wallarm, Vulners) 8

  9. 9 Что-нибудь забыл?

  10. И Что Будет Дальше? • Продолжаем внедрять автоматизированные контроли в

    свой S-SDLC • Уделяем особое внимание проверке сторонних компонент разрабатываемых сервисов • Запускаем багбаунти прорамму! Там весело ;) • Да прибудет с вами сила! 10

  11. Спасибо! Берегите себя!