2011 <= APP_SECURITY <= 2021 Тарас Иващенко, Ozon

$ whoami • (yandex|google)://oxdef • Руководитель продуктовой безопасности в Ozon • Участник команды Московского отделения OWASP • Opensource-евангелист • Просто хороший человек 2

Как стать keynote-спикером на ZN  Организовать пандемию, чтобы она покосила всех конкурентов  Научиться смешно шутить :) 3

4

$ git commit -m "Fix security issue" • CSRF с помощью SameSite (удалили из OWASP Top 10) • ClickJacking с помощью X-Frame-Options/CSP • Вообще все уязвимости с помощью «Next-Gen All-in- one AI Application Security Solutions» 5

Все ещё есть проблемы • Глобальное исправление XSS :) • Внедрение «Content Security Policy» (v2, v3) • SQLi, SSRF, вокруг протокола HTTP и парсинг URL • Пароли всё ещё с нами! • И, конечно, прибавилось новых рисков безопасности! 6

Рост рисков сторонних компонент • Риски «цепочки поставок» • Ад зависимостей в мире JavaScript/NPM • Атака на замену зависимостей (C#, JavaScript, Python) • OWASP Top 10 A9:2017 Использование компонент с известными уязвимостями 7

Хорошие новости?! • Разработчики веб-браузеров продолжают внедрять больше фич безопасности • Индустрия делает хорошую попытку с распространением FIDO2/WebAuthN и отказом от паролей • Багбаунти программа становится стандартным ИБ- контролем и каналом коммуникации с сообществом • У нас появились крутые ИБ-сервисы (Wallarm, Vulners) 8

9 Что-нибудь забыл?

И Что Будет Дальше? • Продолжаем внедрять автоматизированные контроли в свой S-SDLC • Уделяем особое внимание проверке сторонних компонент разрабатываемых сервисов • Запускаем багбаунти прорамму! Там весело ;) • Да прибудет с вами сила! 10

Спасибо! Берегите себя!