Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Keynote at ZeroNights X (2021)

oxdef
August 25, 2021
92

Keynote at ZeroNights X (2021)

oxdef

August 25, 2021
Tweet

Transcript

  1. $ whoami • (yandex|google)://oxdef • Руководитель продуктовой безопасности в Ozon

    • Участник команды Московского отделения OWASP • Opensource-евангелист • Просто хороший человек 2
  2. Как стать keynote-спикером на ZN  Организовать пандемию, чтобы она

    покосила всех конкурентов  Научиться смешно шутить :) 3
  3. 4

  4. $ git commit -m "Fix security issue" • CSRF с

    помощью SameSite (удалили из OWASP Top 10) • ClickJacking с помощью X-Frame-Options/CSP • Вообще все уязвимости с помощью «Next-Gen All-in- one AI Application Security Solutions» 5
  5. Все ещё есть проблемы • Глобальное исправление XSS :) •

    Внедрение «Content Security Policy» (v2, v3) • SQLi, SSRF, вокруг протокола HTTP и парсинг URL • Пароли всё ещё с нами! • И, конечно, прибавилось новых рисков безопасности! 6
  6. Рост рисков сторонних компонент • Риски «цепочки поставок» • Ад

    зависимостей в мире JavaScript/NPM • Атака на замену зависимостей (C#, JavaScript, Python) • OWASP Top 10 A9:2017 Использование компонент с известными уязвимостями 7
  7. Хорошие новости?! • Разработчики веб-браузеров продолжают внедрять больше фич безопасности

    • Индустрия делает хорошую попытку с распространением FIDO2/WebAuthN и отказом от паролей • Багбаунти программа становится стандартным ИБ- контролем и каналом коммуникации с сообществом • У нас появились крутые ИБ-сервисы (Wallarm, Vulners) 8
  8. И Что Будет Дальше? • Продолжаем внедрять автоматизированные контроли в

    свой S-SDLC • Уделяем особое внимание проверке сторонних компонент разрабатываемых сервисов • Запускаем багбаунти прорамму! Там весело ;) • Да прибудет с вами сила! 10