Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Keynote at ZeroNights X (2021)

oxdef
August 25, 2021
87

Keynote at ZeroNights X (2021)

oxdef

August 25, 2021
Tweet

Transcript

  1. 2011 <=
    APP_SECURITY
    <= 2021
    Тарас Иващенко, Ozon

    View full-size slide

  2. $ whoami
    • (yandex|google)://oxdef
    • Руководитель продуктовой безопасности в Ozon
    • Участник команды Московского отделения OWASP
    • Opensource-евангелист
    • Просто хороший человек
    2

    View full-size slide

  3. Как стать keynote-спикером на ZN
     Организовать пандемию, чтобы она покосила всех
    конкурентов
     Научиться смешно шутить :)
    3

    View full-size slide

  4. $ git commit -m "Fix security issue"
    • CSRF с помощью SameSite (удалили из OWASP Top
    10)
    • ClickJacking с помощью X-Frame-Options/CSP
    • Вообще все уязвимости с помощью «Next-Gen All-in-
    one AI Application Security Solutions»
    5

    View full-size slide

  5. Все ещё есть проблемы
    • Глобальное исправление XSS :)
    • Внедрение «Content Security Policy» (v2, v3)
    • SQLi, SSRF, вокруг протокола HTTP и парсинг URL
    • Пароли всё ещё с нами!
    • И, конечно, прибавилось новых рисков
    безопасности!
    6

    View full-size slide

  6. Рост рисков сторонних компонент
    • Риски «цепочки поставок»
    • Ад зависимостей в мире JavaScript/NPM
    • Атака на замену зависимостей (C#, JavaScript,
    Python)
    • OWASP Top 10 A9:2017 Использование компонент с
    известными уязвимостями
    7

    View full-size slide

  7. Хорошие новости?!
    • Разработчики веб-браузеров продолжают внедрять
    больше фич безопасности
    • Индустрия делает хорошую попытку с
    распространением FIDO2/WebAuthN и отказом от
    паролей
    • Багбаунти программа становится стандартным ИБ-
    контролем и каналом коммуникации с сообществом
    • У нас появились крутые ИБ-сервисы (Wallarm,
    Vulners)
    8

    View full-size slide

  8. 9
    Что-нибудь забыл?

    View full-size slide

  9. И Что Будет Дальше?
    • Продолжаем внедрять автоматизированные
    контроли в свой S-SDLC
    • Уделяем особое внимание проверке сторонних
    компонент разрабатываемых сервисов
    • Запускаем багбаунти прорамму! Там весело ;)
    • Да прибудет с вами сила!
    10

    View full-size slide

  10. Спасибо! Берегите
    себя!

    View full-size slide