Keynote at ZeroNights X (2021)

Transcript

1. 2011 <= APP_SECURITY <= 2021 Тарас Иващенко, Ozon

2. $ whoami • (yandex|google)://oxdef • Руководитель продуктовой безопасности в Ozon

   • Участник команды Московского отделения OWASP • Opensource-евангелист • Просто хороший человек 2

3. Как стать keynote-спикером на ZN  Организовать пандемию, чтобы она

   покосила всех конкурентов  Научиться смешно шутить :) 3

4. 4

5. $ git commit -m "Fix security issue" • CSRF с

   помощью SameSite (удалили из OWASP Top 10) • ClickJacking с помощью X-Frame-Options/CSP • Вообще все уязвимости с помощью «Next-Gen All-in- one AI Application Security Solutions» 5

6. Все ещё есть проблемы • Глобальное исправление XSS :) •

   Внедрение «Content Security Policy» (v2, v3) • SQLi, SSRF, вокруг протокола HTTP и парсинг URL • Пароли всё ещё с нами! • И, конечно, прибавилось новых рисков безопасности! 6

7. Рост рисков сторонних компонент • Риски «цепочки поставок» • Ад

   зависимостей в мире JavaScript/NPM • Атака на замену зависимостей (C#, JavaScript, Python) • OWASP Top 10 A9:2017 Использование компонент с известными уязвимостями 7

8. Хорошие новости?! • Разработчики веб-браузеров продолжают внедрять больше фич безопасности

   • Индустрия делает хорошую попытку с распространением FIDO2/WebAuthN и отказом от паролей • Багбаунти программа становится стандартным ИБ- контролем и каналом коммуникации с сообществом • У нас появились крутые ИБ-сервисы (Wallarm, Vulners) 8

9. 9 Что-нибудь забыл?

10. И Что Будет Дальше? • Продолжаем внедрять автоматизированные контроли в

    свой S-SDLC • Уделяем особое внимание проверке сторонних компонент разрабатываемых сервисов • Запускаем багбаунти прорамму! Там весело ;) • Да прибудет с вами сила! 10

11. Спасибо! Берегите себя!