Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Безопасность интернет-приложений #1 / Риски и у...

Avatar for Технострим Mail.ru Group Технострим Mail.ru Group
January 09, 2020
Education
0
200

Безопасность интернет-приложений #1 / Риски и угрозы [Технострим]

Avatar for Технострим Mail.ru Group

Технострим Mail.ru Group

January 09, 2020
Tweet

More Decks by Технострим Mail.ru Group

See All by Технострим Mail.ru Group
Введение в ML и BigData разработку
Avatar for Технострим Mail.ru Group tehnostrim
0
250
Мастер-класс "Бот для мессенджера" | Технострим
Avatar for Технострим Mail.ru Group tehnostrim
0
140
Data Mining #10 / ЕМ-алгоритм [Технострим]
Avatar for Технострим Mail.ru Group tehnostrim
0
220
Data Mining #1 / Задачи Data Mining [Технострим]
Avatar for Технострим Mail.ru Group tehnostrim
0
340
Data Mining #2 / Метрики классификации и регрессии. Метод ближайшего соседа
Avatar for Технострим Mail.ru Group tehnostrim
0
800
Data Mining #3 / Линейные модели регрессии
Avatar for Технострим Mail.ru Group tehnostrim
0
210
Data Mining #4 / Линейные модели классификации
Avatar for Технострим Mail.ru Group tehnostrim
0
280
Data Mining #6 / Решающие деревья
Avatar for Технострим Mail.ru Group tehnostrim
0
160
Data Mining #5 / Метод опорных векторов
Avatar for Технострим Mail.ru Group tehnostrim
0
150

Other Decks in Education

See All in Education
バケットポリシーの記述を誤りマネコンからS3バケットを操作できなくなりそうになった話
Avatar for amarelo_n24 amarelo_n24
1
110
アントレプレナーシップ教育 ~ 自分で自分の幸せを決めるために ~
Avatar for Ryosuke Yoshizaki yoshizaki
0
210
相互コミュニケーションの難しさ
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
0
260
あなたの言葉に力を与える、演繹的なアプローチ
Avatar for Takuto Nagami logica0419
1
110
生態系ウォーズ - ルールブック
Avatar for yui itoshima yui_itoshima
1
270
The knowledge panel is your new homepage
Avatar for Brad Wetherall bradwetherall
0
180
American Airlines® USA Contact Numbers: The Ultimate 2025 Guide
Avatar for liev lievliev
0
260
20250830_本社にみんなの公園を作ってみた
Avatar for yoneyan yoneyan
0
130
(2025) L'origami, mieux que la règle et le compas
Avatar for Roger Mansuy mansuy
0
150
Présentation_1ère_Spé_2025.pdf
Avatar for Monsieur Bernhard bernhardsvt
0
400
​シリコンバレーでスタートアップを共同創業したファウンディングエンジニアとしての学び
Avatar for Tomoaki Imai tomoima525
1
1.3k
万博マニアックマップを支えるオープンデータとその裏側
Avatar for K.Sakanoshita barsaka2
0
890

Featured

See All Featured
Scaling GitHub
Avatar for Zach Holman holman
463
140k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
71
11k
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
210k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
697
190k
How GitHub (no longer) Works
Avatar for Zach Holman holman
315
140k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k
Side Projects
Avatar for Sacha Greif sachag
455
43k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
127
53k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.8k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
51k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
248
1.3M
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
70
4.9k

Transcript

  1. {Безопасность интернет приложений} преподаватель – Александра Сватикова

  2. Александра Сватикова [email protected] https://ok.ru/alexandra.svatikova https://polis.mail.ru 2

  3. 3 2018 — 2019: 1) Facebook - 50M пользователей 2)

    Google+ API 3) Uber 57M пользователей, £133m штраф 4) Coincheck $534M 5) Coinrail $37M

  4. Основные понятия 4

  5. • Конфиденциальность / Confidentiality • Целостность / Integrity • Доступность

    / Availability • Апеллируемость / Non-repudiation 5 Информационная безопасность

  6. • Актив / Asset • Уязвимость / Vulnerability • Атака

    / Attack • Угроза / Threat 6 Ключевые понятия

  7. Spoofing Tampering Repudiation Information disclosure Denial of service Elevation of

    privilege 7 Угрозы - STRIDE

  8. Damage Reproducibility Exploitability Affected users Discoverability 8 Риски - DREAD

  9. • Контроль доступа: • Идентификация • Аутентификация • Авторизация •

    Управление сессиями 9 Контрмеры

  10. • Валидация входных данных • Обработка ошибок 10 Контрмеры

  11. • Классификация данных • Принцип наименьших привилегий • Криптография 11

    Контрмеры

  12. • Security by design • Security in depth 12

  13. Web 101 13

  14. • Same-Origin Policy (SOP) • Изоляция окон и фреймов •

    Cross-Origin Resource Sharing (CORS) • Cookies, headers, … 14

  15. 15 Same-Origin Policy (SOP) RFC 6454 The Web Origin Concept

    https://example.com:8080/path?param=1#xyz

  16. 16 Cross-Origin Resource Sharing (CORS) https://www.html5rocks.com/en/tutorials/cors/

  17. 17 Cross-Origin Resource Sharing (CORS) Access-Control-Allow-Origin: https://foo.example Access-Control-Allow-Methods: POST, GET,

    OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400 https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

  18. 18 Куки RFC 6265, section 5.4: Cookie HTTP/2.0 200 OK

    Content-type: text/html Set-Cookie: yummy_cookie=choco Set-Cookie: tasty_cookie=strawberry https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cookie Атрибуты: • Domain, Path • Expires, Max-Age • Secure • HttpOnly • SameSite

  19. • Content-Type • X-Content-Type-Options • X-Frame-Options • Content-Security-Policy 19 Полезные

    заголовки

  20. Android 101 20

  21. 21

  22. • Android Application Sandbox • Intents • ContentProviders • Permissions

    • HTML message channels 22

  23. Почитать https://owasp.org https://developer.mozilla.org/en-US/docs/Web/Security https://security.googleblog.com/2019/04/the-android-platform-security-model.html Попробовать силы https://github.com/OWASP/SecurityShepherd https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project Инструменты https://portswigger.net/burp/freedownload

    https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project 23 Ссылки