Безопасность интернет-приложений #1 / Риски и угрозы [Технострим]

Transcript

1. {Безопасность интернет приложений} преподаватель – Александра Сватикова

2. Александра Сватикова [email protected] https://ok.ru/alexandra.svatikova https://polis.mail.ru 2

3. 3 2018 — 2019: 1) Facebook - 50M пользователей 2)

   Google+ API 3) Uber 57M пользователей, £133m штраф 4) Coincheck $534M 5) Coinrail $37M

4. Основные понятия 4

5. • Конфиденциальность / Confidentiality • Целостность / Integrity • Доступность

   / Availability • Апеллируемость / Non-repudiation 5 Информационная безопасность

6. • Актив / Asset • Уязвимость / Vulnerability • Атака

   / Attack • Угроза / Threat 6 Ключевые понятия

7. Spoofing Tampering Repudiation Information disclosure Denial of service Elevation of

   privilege 7 Угрозы - STRIDE

8. Damage Reproducibility Exploitability Affected users Discoverability 8 Риски - DREAD

9. • Контроль доступа: • Идентификация • Аутентификация • Авторизация •

   Управление сессиями 9 Контрмеры

10. • Валидация входных данных • Обработка ошибок 10 Контрмеры

11. • Классификация данных • Принцип наименьших привилегий • Криптография 11

    Контрмеры

12. • Security by design • Security in depth 12

13. Web 101 13

14. • Same-Origin Policy (SOP) • Изоляция окон и фреймов •

    Cross-Origin Resource Sharing (CORS) • Cookies, headers, … 14

15. 15 Same-Origin Policy (SOP) RFC 6454 The Web Origin Concept

    https://example.com:8080/path?param=1#xyz

16. 16 Cross-Origin Resource Sharing (CORS) https://www.html5rocks.com/en/tutorials/cors/

17. 17 Cross-Origin Resource Sharing (CORS) Access-Control-Allow-Origin: https://foo.example Access-Control-Allow-Methods: POST, GET,

    OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400 https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

18. 18 Куки RFC 6265, section 5.4: Cookie HTTP/2.0 200 OK

    Content-type: text/html Set-Cookie: yummy_cookie=choco Set-Cookie: tasty_cookie=strawberry https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cookie Атрибуты: • Domain, Path • Expires, Max-Age • Secure • HttpOnly • SameSite

19. • Content-Type • X-Content-Type-Options • X-Frame-Options • Content-Security-Policy 19 Полезные

    заголовки

20. Android 101 20

21. 21

22. • Android Application Sandbox • Intents • ContentProviders • Permissions

    • HTML message channels 22

23. Почитать https://owasp.org https://developer.mozilla.org/en-US/docs/Web/Security https://security.googleblog.com/2019/04/the-android-platform-security-model.html Попробовать силы https://github.com/OWASP/SecurityShepherd https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project Инструменты https://portswigger.net/burp/freedownload

    https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project 23 Ссылки