Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Keynote at ZeroNights X (2021)

5b723186bd1e23af569bd623f193a2b9?s=47 oxdef
August 25, 2021
9

Keynote at ZeroNights X (2021)

5b723186bd1e23af569bd623f193a2b9?s=128

oxdef

August 25, 2021
Tweet

Transcript

  1. 2011 <= APP_SECURITY <= 2021 Тарас Иващенко, Ozon

  2. $ whoami • (yandex|google)://oxdef • Руководитель продуктовой безопасности в Ozon

    • Участник команды Московского отделения OWASP • Opensource-евангелист • Просто хороший человек 2
  3. Как стать keynote-спикером на ZN  Организовать пандемию, чтобы она

    покосила всех конкурентов  Научиться смешно шутить :) 3
  4. 4

  5. $ git commit -m "Fix security issue" • CSRF с

    помощью SameSite (удалили из OWASP Top 10) • ClickJacking с помощью X-Frame-Options/CSP • Вообще все уязвимости с помощью «Next-Gen All-in- one AI Application Security Solutions» 5
  6. Все ещё есть проблемы • Глобальное исправление XSS :) •

    Внедрение «Content Security Policy» (v2, v3) • SQLi, SSRF, вокруг протокола HTTP и парсинг URL • Пароли всё ещё с нами! • И, конечно, прибавилось новых рисков безопасности! 6
  7. Рост рисков сторонних компонент • Риски «цепочки поставок» • Ад

    зависимостей в мире JavaScript/NPM • Атака на замену зависимостей (C#, JavaScript, Python) • OWASP Top 10 A9:2017 Использование компонент с известными уязвимостями 7
  8. Хорошие новости?! • Разработчики веб-браузеров продолжают внедрять больше фич безопасности

    • Индустрия делает хорошую попытку с распространением FIDO2/WebAuthN и отказом от паролей • Багбаунти программа становится стандартным ИБ- контролем и каналом коммуникации с сообществом • У нас появились крутые ИБ-сервисы (Wallarm, Vulners) 8
  9. 9 Что-нибудь забыл?

  10. И Что Будет Дальше? • Продолжаем внедрять автоматизированные контроли в

    свой S-SDLC • Уделяем особое внимание проверке сторонних компонент разрабатываемых сервисов • Запускаем багбаунти прорамму! Там весело ;) • Да прибудет с вами сила! 10
  11. Спасибо! Берегите себя!