Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Безопасность интернет-приложений #1 / Риски и угрозы [Технострим]
Search
Технострим Mail.ru Group
January 09, 2020
Education
0
170
Безопасность интернет-приложений #1 / Риски и угрозы [Технострим]
Технострим Mail.ru Group
January 09, 2020
Tweet
Share
More Decks by Технострим Mail.ru Group
See All by Технострим Mail.ru Group
Введение в ML и BigData разработку
tehnostrim
0
230
Мастер-класс "Бот для мессенджера" | Технострим
tehnostrim
0
130
Data Mining #10 / ЕМ-алгоритм [Технострим]
tehnostrim
0
180
Data Mining #1 / Задачи Data Mining [Технострим]
tehnostrim
0
300
Data Mining #2 / Метрики классификации и регрессии. Метод ближайшего соседа
tehnostrim
0
410
Data Mining #3 / Линейные модели регрессии
tehnostrim
0
150
Data Mining #4 / Линейные модели классификации
tehnostrim
0
200
Data Mining #6 / Решающие деревья
tehnostrim
0
120
Data Mining #5 / Метод опорных векторов
tehnostrim
0
95
Other Decks in Education
See All in Education
Introduction - Lecture 1 - Advanced Topics in Big Data (4023256FNR)
signer
PRO
1
1.1k
AI教育の未来『おもしろい』を作れる人材の育て方 #東京AI祭
o_ob
1
230
Gesture-based Interaction - Lecture 8 - Next Generation User Interfaces (4018166FNR)
signer
PRO
0
1.2k
aportacions valors 2024
cumclavis
PRO
0
100
Interactive Tabletops and Surfaces - Lecture 7 - Next Generation User Interfaces (4018166FNR)
signer
PRO
1
1.2k
Tangible, Embedded and Embodied Interaction - Lecture 9 - Next Generation User Interfaces (4018166FNR)
signer
PRO
0
1.2k
Human Perception and Colour Theory - Lecture 2 - Information Visualisation (4019538FNR)
signer
PRO
0
1.7k
Analysis and Validation - Lecture 4 - Information Visualisation (4019538FNR)
signer
PRO
0
1.4k
「ロータリーって何?」と訊かれたら:国際ロータリー 2720地区 2023-2024年度 公共イメージ部門 副委員長・ 熊本南ロータリークラブ・ 株式会社ヒデコーポレーション 代表 大津 英敬 氏
2720japanoke
0
530
Baa Baa Black Sheep
haiinya
0
110
Часто задаваемые вопросы
pnuslide
0
11k
Best Wedding day perfume
vicjon
0
240
Featured
See All Featured
From Idea to $5000 a Month in 5 Months
shpigford
376
45k
How GitHub Uses GitHub to Build GitHub
holman
467
290k
Docker and Python
trallard
33
2.6k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
185
15k
We Have a Design System, Now What?
morganepeng
42
6.7k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
240
1.2M
It's Worth the Effort
3n
180
27k
The Cost Of JavaScript in 2023
addyosmani
13
3.7k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
39
4.3k
Bash Introduction
62gerente
604
210k
Build your cross-platform service in a week with App Engine
jlugia
223
17k
Agile that works and the tools we love
rasmusluckow
323
20k
Transcript
{Безопасность интернет приложений} преподаватель – Александра Сватикова
Александра Сватикова
[email protected]
https://ok.ru/alexandra.svatikova https://polis.mail.ru 2
3 2018 — 2019: 1) Facebook - 50M пользователей 2)
Google+ API 3) Uber 57M пользователей, £133m штраф 4) Coincheck $534M 5) Coinrail $37M
Основные понятия 4
• Конфиденциальность / Confidentiality • Целостность / Integrity • Доступность
/ Availability • Апеллируемость / Non-repudiation 5 Информационная безопасность
• Актив / Asset • Уязвимость / Vulnerability • Атака
/ Attack • Угроза / Threat 6 Ключевые понятия
Spoofing Tampering Repudiation Information disclosure Denial of service Elevation of
privilege 7 Угрозы - STRIDE
Damage Reproducibility Exploitability Affected users Discoverability 8 Риски - DREAD
• Контроль доступа: • Идентификация • Аутентификация • Авторизация •
Управление сессиями 9 Контрмеры
• Валидация входных данных • Обработка ошибок 10 Контрмеры
• Классификация данных • Принцип наименьших привилегий • Криптография 11
Контрмеры
• Security by design • Security in depth 12
Web 101 13
• Same-Origin Policy (SOP) • Изоляция окон и фреймов •
Cross-Origin Resource Sharing (CORS) • Cookies, headers, … 14
15 Same-Origin Policy (SOP) RFC 6454 The Web Origin Concept
https://example.com:8080/path?param=1#xyz
16 Cross-Origin Resource Sharing (CORS) https://www.html5rocks.com/en/tutorials/cors/
17 Cross-Origin Resource Sharing (CORS) Access-Control-Allow-Origin: https://foo.example Access-Control-Allow-Methods: POST, GET,
OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400 https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS
18 Куки RFC 6265, section 5.4: Cookie HTTP/2.0 200 OK
Content-type: text/html Set-Cookie: yummy_cookie=choco Set-Cookie: tasty_cookie=strawberry https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cookie Атрибуты: • Domain, Path • Expires, Max-Age • Secure • HttpOnly • SameSite
• Content-Type • X-Content-Type-Options • X-Frame-Options • Content-Security-Policy 19 Полезные
заголовки
Android 101 20
21
• Android Application Sandbox • Intents • ContentProviders • Permissions
• HTML message channels 22
Почитать https://owasp.org https://developer.mozilla.org/en-US/docs/Web/Security https://security.googleblog.com/2019/04/the-android-platform-security-model.html Попробовать силы https://github.com/OWASP/SecurityShepherd https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project Инструменты https://portswigger.net/burp/freedownload
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project 23 Ссылки