Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Безопасность интернет-приложений #1 / Риски и у...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Технострим Mail.ru Group
January 09, 2020
Education
210
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Безопасность интернет-приложений #1 / Риски и угрозы [Технострим]
Технострим Mail.ru Group
January 09, 2020
More Decks by Технострим Mail.ru Group
See All by Технострим Mail.ru Group
Введение в ML и BigData разработку
tehnostrim
0
270
Мастер-класс "Бот для мессенджера" | Технострим
tehnostrim
0
150
Data Mining #10 / ЕМ-алгоритм [Технострим]
tehnostrim
0
250
Data Mining #1 / Задачи Data Mining [Технострим]
tehnostrim
0
350
Data Mining #2 / Метрики классификации и регрессии. Метод ближайшего соседа
tehnostrim
0
920
Data Mining #3 / Линейные модели регрессии
tehnostrim
0
230
Data Mining #4 / Линейные модели классификации
tehnostrim
0
310
Data Mining #6 / Решающие деревья
tehnostrim
0
180
Data Mining #5 / Метод опорных векторов
tehnostrim
0
160
Other Decks in Education
See All in Education
[2026前期火5] 論理学(京都大学文学部 前期 第6回)「かつとまたはの規則」
yatabe
0
370
AI時代に、 なぜ英語を勉強するのか
empelt
0
120
0415
cbtlibrary
0
220
Examen de Selectividad. Geografía julio 2026 (Convocatoria Extraordinaria). UCLM
juanmartin2026
0
4.1k
0513
cbtlibrary
0
200
2026年度春学期 統計学 第1回 イントロダクション ー 統計的なものの見方・考え方について (2026. 4. 9)
akiraasano
PRO
0
170
Visualisation Techniques - Lecture 8 - Information Visualisation (4019538FNR)
signer
PRO
1
3.1k
Throw Yourself In! - How I've learned English and What I'm Facing
georgeorge
1
160
The Lotus and the Frog
vyadav
0
130
2026年度春学期 統計学 第7回 データの関係を知る(2)ー 回帰と決定係数 (2026. 5. 21)
akiraasano
PRO
0
160
[2026前期火5] 論理学(京都大学文学部 前期 第4回)「 ならば(→)の導入と証明ネット」
yatabe
0
470
2026年度春学期 統計学 第5回 分布をまとめるー記述統計量(平均・分散など) (2026. 5. 7)
akiraasano
PRO
0
150
Featured
See All Featured
Writing Fast Ruby
sferik
630
63k
Testing 201, or: Great Expectations
jmmastey
46
8.2k
Building Adaptive Systems
keathley
44
3.1k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.5k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
baasie
0
590
Agile Actions for Facilitating Distributed Teams - ADO2019
mkilby
0
210
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
17k
GraphQLとの向き合い方2022年版
quramy
50
15k
Speed Design
sergeychernyshev
33
1.9k
Six Lessons from altMBA
skipperchong
29
4.3k
Un-Boring Meetings
codingconduct
0
320
Optimizing for Happiness
mojombo
378
71k
Transcript
{Безопасность интернет приложений} преподаватель – Александра Сватикова
Александра Сватикова
[email protected]
https://ok.ru/alexandra.svatikova https://polis.mail.ru 2
3 2018 — 2019: 1) Facebook - 50M пользователей 2)
Google+ API 3) Uber 57M пользователей, £133m штраф 4) Coincheck $534M 5) Coinrail $37M
Основные понятия 4
• Конфиденциальность / Confidentiality • Целостность / Integrity • Доступность
/ Availability • Апеллируемость / Non-repudiation 5 Информационная безопасность
• Актив / Asset • Уязвимость / Vulnerability • Атака
/ Attack • Угроза / Threat 6 Ключевые понятия
Spoofing Tampering Repudiation Information disclosure Denial of service Elevation of
privilege 7 Угрозы - STRIDE
Damage Reproducibility Exploitability Affected users Discoverability 8 Риски - DREAD
• Контроль доступа: • Идентификация • Аутентификация • Авторизация •
Управление сессиями 9 Контрмеры
• Валидация входных данных • Обработка ошибок 10 Контрмеры
• Классификация данных • Принцип наименьших привилегий • Криптография 11
Контрмеры
• Security by design • Security in depth 12
Web 101 13
• Same-Origin Policy (SOP) • Изоляция окон и фреймов •
Cross-Origin Resource Sharing (CORS) • Cookies, headers, … 14
15 Same-Origin Policy (SOP) RFC 6454 The Web Origin Concept
https://example.com:8080/path?param=1#xyz
16 Cross-Origin Resource Sharing (CORS) https://www.html5rocks.com/en/tutorials/cors/
17 Cross-Origin Resource Sharing (CORS) Access-Control-Allow-Origin: https://foo.example Access-Control-Allow-Methods: POST, GET,
OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400 https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS
18 Куки RFC 6265, section 5.4: Cookie HTTP/2.0 200 OK
Content-type: text/html Set-Cookie: yummy_cookie=choco Set-Cookie: tasty_cookie=strawberry https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cookie Атрибуты: • Domain, Path • Expires, Max-Age • Secure • HttpOnly • SameSite
• Content-Type • X-Content-Type-Options • X-Frame-Options • Content-Security-Policy 19 Полезные
заголовки
Android 101 20
21
• Android Application Sandbox • Intents • ContentProviders • Permissions
• HTML message channels 22
Почитать https://owasp.org https://developer.mozilla.org/en-US/docs/Web/Security https://security.googleblog.com/2019/04/the-android-platform-security-model.html Попробовать силы https://github.com/OWASP/SecurityShepherd https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project Инструменты https://portswigger.net/burp/freedownload
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project 23 Ссылки