Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Безопасность интернет-приложений #1 / Риски и у...

Avatar for Технострим Mail.ru Group Технострим Mail.ru Group
January 09, 2020
Education
0
200

Безопасность интернет-приложений #1 / Риски и угрозы [Технострим]

Avatar for Технострим Mail.ru Group

Технострим Mail.ru Group

January 09, 2020
Tweet

More Decks by Технострим Mail.ru Group

See All by Технострим Mail.ru Group
Введение в ML и BigData разработку
Avatar for Технострим Mail.ru Group tehnostrim
0
250
Мастер-класс "Бот для мессенджера" | Технострим
Avatar for Технострим Mail.ru Group tehnostrim
0
140
Data Mining #10 / ЕМ-алгоритм [Технострим]
Avatar for Технострим Mail.ru Group tehnostrim
0
220
Data Mining #1 / Задачи Data Mining [Технострим]
Avatar for Технострим Mail.ru Group tehnostrim
0
340
Data Mining #2 / Метрики классификации и регрессии. Метод ближайшего соседа
Avatar for Технострим Mail.ru Group tehnostrim
0
770
Data Mining #3 / Линейные модели регрессии
Avatar for Технострим Mail.ru Group tehnostrim
0
210
Data Mining #4 / Линейные модели классификации
Avatar for Технострим Mail.ru Group tehnostrim
0
270
Data Mining #6 / Решающие деревья
Avatar for Технострим Mail.ru Group tehnostrim
0
160
Data Mining #5 / Метод опорных векторов
Avatar for Технострим Mail.ru Group tehnostrim
0
150

Other Decks in Education

See All in Education
Human-AI Interaction - Lecture 11 - Next Generation User Interfaces (4018166FNR)
Avatar for Beat Signer signer
PRO
0
470
新卒交流ワークショップ
Avatar for pokotyamu pokotyamu
0
460
理想の英語力に一直線!最高効率な英語学習のすゝめ
Avatar for Takuto Nagami logica0419
6
250
2025年度春学期 統計学 第5回 分布をまとめるー記述統計量(平均・分散など) (2025. 5. 8)
Avatar for Akira Asano akiraasano
PRO
0
140
ふりかえり研修2025
Avatar for pokotyamu pokotyamu
0
1.3k
20250625_なんでもCopilot 一年の振り返り
Avatar for ponponmikan ponponmikankan
0
260
演習問題
Avatar for リスナビ takenawa
0
8.1k
SkimaTalk Teacher Guidelines
Avatar for SkimaTalk skimatalk
0
800k
Webリテラシー基礎
Avatar for リスナビ takenawa
0
8.1k
技術文章を書くための執筆技術と実践法(パラグラフライティング)
Avatar for Hisashi Ishihara hisashiishihara
19
6.6k
SkimaTalk Teacher Guidelines Summary
Avatar for SkimaTalk skimatalk
0
800k
CHARMS-HP-Banner
Avatar for Rica weltraumreisende
0
290

Featured

See All Featured
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
179
9.8k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
37
2.8k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
189
11k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
96
6.1k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
367
19k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
31
1.3k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
282
13k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
70
11k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
18
990
Fireside Chat
Avatar for paigeccino paigeccino
37
3.5k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
840

Transcript

  1. {Безопасность интернет приложений} преподаватель – Александра Сватикова

  2. Александра Сватикова [email protected] https://ok.ru/alexandra.svatikova https://polis.mail.ru 2

  3. 3 2018 — 2019: 1) Facebook - 50M пользователей 2)

    Google+ API 3) Uber 57M пользователей, £133m штраф 4) Coincheck $534M 5) Coinrail $37M

  4. Основные понятия 4

  5. • Конфиденциальность / Confidentiality • Целостность / Integrity • Доступность

    / Availability • Апеллируемость / Non-repudiation 5 Информационная безопасность

  6. • Актив / Asset • Уязвимость / Vulnerability • Атака

    / Attack • Угроза / Threat 6 Ключевые понятия

  7. Spoofing Tampering Repudiation Information disclosure Denial of service Elevation of

    privilege 7 Угрозы - STRIDE

  8. Damage Reproducibility Exploitability Affected users Discoverability 8 Риски - DREAD

  9. • Контроль доступа: • Идентификация • Аутентификация • Авторизация •

    Управление сессиями 9 Контрмеры

  10. • Валидация входных данных • Обработка ошибок 10 Контрмеры

  11. • Классификация данных • Принцип наименьших привилегий • Криптография 11

    Контрмеры

  12. • Security by design • Security in depth 12

  13. Web 101 13

  14. • Same-Origin Policy (SOP) • Изоляция окон и фреймов •

    Cross-Origin Resource Sharing (CORS) • Cookies, headers, … 14

  15. 15 Same-Origin Policy (SOP) RFC 6454 The Web Origin Concept

    https://example.com:8080/path?param=1#xyz

  16. 16 Cross-Origin Resource Sharing (CORS) https://www.html5rocks.com/en/tutorials/cors/

  17. 17 Cross-Origin Resource Sharing (CORS) Access-Control-Allow-Origin: https://foo.example Access-Control-Allow-Methods: POST, GET,

    OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400 https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

  18. 18 Куки RFC 6265, section 5.4: Cookie HTTP/2.0 200 OK

    Content-type: text/html Set-Cookie: yummy_cookie=choco Set-Cookie: tasty_cookie=strawberry https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cookie Атрибуты: • Domain, Path • Expires, Max-Age • Secure • HttpOnly • SameSite

  19. • Content-Type • X-Content-Type-Options • X-Frame-Options • Content-Security-Policy 19 Полезные

    заголовки

  20. Android 101 20

  21. 21

  22. • Android Application Sandbox • Intents • ContentProviders • Permissions

    • HTML message channels 22

  23. Почитать https://owasp.org https://developer.mozilla.org/en-US/docs/Web/Security https://security.googleblog.com/2019/04/the-android-platform-security-model.html Попробовать силы https://github.com/OWASP/SecurityShepherd https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project Инструменты https://portswigger.net/burp/freedownload

    https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project 23 Ссылки