Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Безопасность интернет-приложений #1 / Риски и у...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Технострим Mail.ru Group Технострим Mail.ru Group
January 09, 2020
Education
210
0

Безопасность интернет-приложений #1 / Риски и угрозы [Технострим]

Avatar for Технострим Mail.ru Group

Технострим Mail.ru Group

January 09, 2020

More Decks by Технострим Mail.ru Group

See All by Технострим Mail.ru Group
Введение в ML и BigData разработку
Avatar for Технострим Mail.ru Group tehnostrim
0
270
Мастер-класс "Бот для мессенджера" | Технострим
Avatar for Технострим Mail.ru Group tehnostrim
0
150
Data Mining #10 / ЕМ-алгоритм [Технострим]
Avatar for Технострим Mail.ru Group tehnostrim
0
250
Data Mining #1 / Задачи Data Mining [Технострим]
Avatar for Технострим Mail.ru Group tehnostrim
0
350
Data Mining #2 / Метрики классификации и регрессии. Метод ближайшего соседа
Avatar for Технострим Mail.ru Group tehnostrim
0
910
Data Mining #3 / Линейные модели регрессии
Avatar for Технострим Mail.ru Group tehnostrim
0
230
Data Mining #4 / Линейные модели классификации
Avatar for Технострим Mail.ru Group tehnostrim
0
310
Data Mining #6 / Решающие деревья
Avatar for Технострим Mail.ru Group tehnostrim
0
180
Data Mining #5 / Метод опорных векторов
Avatar for Технострим Mail.ru Group tehnostrim
0
160

Other Decks in Education

See All in Education
勾配ブースティングと決定木の話 / gradient boosting and decision trees
Avatar for kaityo256 kaityo256
PRO
6
1.2k
2026年度春学期 統計学 第7回 データの関係を知る(2)ー 回帰と決定係数 (2026. 5. 21)
Avatar for Akira Asano akiraasano
PRO
0
110
What workforce agencies must have in place to compete for and deliver on RESTART grants
Avatar for Territorium territorium
PRO
0
160
勝手にCULTIBASE で広げよう、探究の輪! - CULTIVAL 2026
Avatar for Hiroshi SAKAI hiroc_sk
1
200
We部コミュニティスライド2026-04-24
Avatar for junhat6 junhat6
0
170
Human-AI Interaction - Lecture 11 - Next Generation User Interfaces (4018166FNR)
Avatar for Beat Signer signer
PRO
0
1k
偶然のチャンスを掴みに行けるのは君だ!
Avatar for ことみん / kotomin_m kotomin_m
2
110
Alumnote inc. Company Deck
Avatar for Alumnote yukinumata
1
18k
コミュニティを通じた_キャリア設計のススメ_20260424.pdf
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
0
280
【セーフィー】テクニカルライティング&コミュニケーション実践講座(26新卒エンジニア向け研修資料)
Avatar for 山崎麻衣子 ymzaki_m4
0
170
2026年度春学期 統計学 講義の進め方と成績評価について (2026. 4. 9)
Avatar for Akira Asano akiraasano
PRO
0
170
吉祥寺.pmは1つじゃない
— 複数イベント並走運営の12年 —
Avatar for Magnolia.K magnolia
0
940

Featured

See All Featured
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
Avatar for Sara Fernández Carmona sarafernandez
2
1.5k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
128
55k
How Software Deployment tools have changed in the past 20 years
Avatar for Geshan Manandhar geshan
0
34k
Chasing Engaging Ingredients in Design
Avatar for Sebastian Deterding codingconduct
0
200
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
Avatar for Ines Montani inesmontani
PRO
0
390
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
3k
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
340
Fireside Chat
Avatar for paigeccino paigeccino
42
3.9k
Odyssey Design
Avatar for Ryan Kendrick rkendrick25
PRO
2
640
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
150k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
Avatar for Katarina Dahlin katarinadahlin
PRO
1
3.6k
Ethics towards AI in product and experience design
Avatar for Skipper Chong Warson skipperchong
2
290

Transcript

  1. {Безопасность интернет приложений} преподаватель – Александра Сватикова

  2. Александра Сватикова [email protected] https://ok.ru/alexandra.svatikova https://polis.mail.ru 2

  3. 3 2018 — 2019: 1) Facebook - 50M пользователей 2)

    Google+ API 3) Uber 57M пользователей, £133m штраф 4) Coincheck $534M 5) Coinrail $37M

  4. Основные понятия 4

  5. • Конфиденциальность / Confidentiality • Целостность / Integrity • Доступность

    / Availability • Апеллируемость / Non-repudiation 5 Информационная безопасность

  6. • Актив / Asset • Уязвимость / Vulnerability • Атака

    / Attack • Угроза / Threat 6 Ключевые понятия

  7. Spoofing Tampering Repudiation Information disclosure Denial of service Elevation of

    privilege 7 Угрозы - STRIDE

  8. Damage Reproducibility Exploitability Affected users Discoverability 8 Риски - DREAD

  9. • Контроль доступа: • Идентификация • Аутентификация • Авторизация •

    Управление сессиями 9 Контрмеры

  10. • Валидация входных данных • Обработка ошибок 10 Контрмеры

  11. • Классификация данных • Принцип наименьших привилегий • Криптография 11

    Контрмеры

  12. • Security by design • Security in depth 12

  13. Web 101 13

  14. • Same-Origin Policy (SOP) • Изоляция окон и фреймов •

    Cross-Origin Resource Sharing (CORS) • Cookies, headers, … 14

  15. 15 Same-Origin Policy (SOP) RFC 6454 The Web Origin Concept

    https://example.com:8080/path?param=1#xyz

  16. 16 Cross-Origin Resource Sharing (CORS) https://www.html5rocks.com/en/tutorials/cors/

  17. 17 Cross-Origin Resource Sharing (CORS) Access-Control-Allow-Origin: https://foo.example Access-Control-Allow-Methods: POST, GET,

    OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400 https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

  18. 18 Куки RFC 6265, section 5.4: Cookie HTTP/2.0 200 OK

    Content-type: text/html Set-Cookie: yummy_cookie=choco Set-Cookie: tasty_cookie=strawberry https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cookie Атрибуты: • Domain, Path • Expires, Max-Age • Secure • HttpOnly • SameSite

  19. • Content-Type • X-Content-Type-Options • X-Frame-Options • Content-Security-Policy 19 Полезные

    заголовки

  20. Android 101 20

  21. 21

  22. • Android Application Sandbox • Intents • ContentProviders • Permissions

    • HTML message channels 22

  23. Почитать https://owasp.org https://developer.mozilla.org/en-US/docs/Web/Security https://security.googleblog.com/2019/04/the-android-platform-security-model.html Попробовать силы https://github.com/OWASP/SecurityShepherd https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project Инструменты https://portswigger.net/burp/freedownload

    https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project 23 Ссылки