Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Безопасность интернет-приложений #1 / Риски и у...
Search
Технострим Mail.ru Group
January 09, 2020
Education
0
200
Безопасность интернет-приложений #1 / Риски и угрозы [Технострим]
Технострим Mail.ru Group
January 09, 2020
Tweet
Share
More Decks by Технострим Mail.ru Group
See All by Технострим Mail.ru Group
Введение в ML и BigData разработку
tehnostrim
0
250
Мастер-класс "Бот для мессенджера" | Технострим
tehnostrim
0
140
Data Mining #10 / ЕМ-алгоритм [Технострим]
tehnostrim
0
220
Data Mining #1 / Задачи Data Mining [Технострим]
tehnostrim
0
340
Data Mining #2 / Метрики классификации и регрессии. Метод ближайшего соседа
tehnostrim
0
790
Data Mining #3 / Линейные модели регрессии
tehnostrim
0
210
Data Mining #4 / Линейные модели классификации
tehnostrim
0
280
Data Mining #6 / Решающие деревья
tehnostrim
0
160
Data Mining #5 / Метод опорных векторов
tehnostrim
0
150
Other Decks in Education
See All in Education
2025年度春学期 統計学 第9回 確からしさを記述する ー 確率 (2025. 6. 5)
akiraasano
PRO
0
150
登壇未経験者のための登壇戦略~LTは設計が9割!!!~
masakiokuda
3
660
JPCERTから始まる草の根活動~セキュリティ文化醸成のためのアクション~
masakiokuda
0
220
Tutorial: Foundations of Blind Source Separation and Its Advances in Spatial Self-Supervised Learning
yoshipon
1
150
令和政経義塾第2期説明会
nxji
0
180
Alumnote inc. Company Deck
yukinumata
0
1.8k
DIP_1_Introduction
hachama
0
120
Padlet opetuksessa
matleenalaakso
4
14k
フィードバックの伝え方、受け身のココロ / The Way of Feedback: Words and the Receiving Heart
spring_aki
1
100
大学院進学について(2025年度版)
imash
0
110
2025年度春学期 統計学 第6回 データの関係を知る(1)ー相関関係 (2025. 5. 15)
akiraasano
PRO
0
180
2025年度春学期 統計学 第11回 分布の「型」を考える ー 確率分布モデルと正規分布 (2025. 6. 19)
akiraasano
PRO
0
160
Featured
See All Featured
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
44
2.5k
Faster Mobile Websites
deanohume
309
31k
We Have a Design System, Now What?
morganepeng
53
7.8k
The Power of CSS Pseudo Elements
geoffreycrofte
77
5.9k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
23
1.4k
Bash Introduction
62gerente
615
210k
The Invisible Side of Design
smashingmag
301
51k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
6k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.6k
Facilitating Awesome Meetings
lara
55
6.5k
A better future with KSS
kneath
239
17k
[RailsConf 2023] Rails as a piece of cake
palkan
56
5.8k
Transcript
{Безопасность интернет приложений} преподаватель – Александра Сватикова
Александра Сватикова
[email protected]
https://ok.ru/alexandra.svatikova https://polis.mail.ru 2
3 2018 — 2019: 1) Facebook - 50M пользователей 2)
Google+ API 3) Uber 57M пользователей, £133m штраф 4) Coincheck $534M 5) Coinrail $37M
Основные понятия 4
• Конфиденциальность / Confidentiality • Целостность / Integrity • Доступность
/ Availability • Апеллируемость / Non-repudiation 5 Информационная безопасность
• Актив / Asset • Уязвимость / Vulnerability • Атака
/ Attack • Угроза / Threat 6 Ключевые понятия
Spoofing Tampering Repudiation Information disclosure Denial of service Elevation of
privilege 7 Угрозы - STRIDE
Damage Reproducibility Exploitability Affected users Discoverability 8 Риски - DREAD
• Контроль доступа: • Идентификация • Аутентификация • Авторизация •
Управление сессиями 9 Контрмеры
• Валидация входных данных • Обработка ошибок 10 Контрмеры
• Классификация данных • Принцип наименьших привилегий • Криптография 11
Контрмеры
• Security by design • Security in depth 12
Web 101 13
• Same-Origin Policy (SOP) • Изоляция окон и фреймов •
Cross-Origin Resource Sharing (CORS) • Cookies, headers, … 14
15 Same-Origin Policy (SOP) RFC 6454 The Web Origin Concept
https://example.com:8080/path?param=1#xyz
16 Cross-Origin Resource Sharing (CORS) https://www.html5rocks.com/en/tutorials/cors/
17 Cross-Origin Resource Sharing (CORS) Access-Control-Allow-Origin: https://foo.example Access-Control-Allow-Methods: POST, GET,
OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400 https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS
18 Куки RFC 6265, section 5.4: Cookie HTTP/2.0 200 OK
Content-type: text/html Set-Cookie: yummy_cookie=choco Set-Cookie: tasty_cookie=strawberry https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cookie Атрибуты: • Domain, Path • Expires, Max-Age • Secure • HttpOnly • SameSite
• Content-Type • X-Content-Type-Options • X-Frame-Options • Content-Security-Policy 19 Полезные
заголовки
Android 101 20
21
• Android Application Sandbox • Intents • ContentProviders • Permissions
• HTML message channels 22
Почитать https://owasp.org https://developer.mozilla.org/en-US/docs/Web/Security https://security.googleblog.com/2019/04/the-android-platform-security-model.html Попробовать силы https://github.com/OWASP/SecurityShepherd https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project Инструменты https://portswigger.net/burp/freedownload
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project 23 Ссылки
tehnostrim
akiraasano
masakiokuda
yoshipon
nxji
yukinumata
hachama
matleenalaakso
spring_aki
imash
bcantrill
deanohume
morganepeng
geoffreycrofte
honnibal
62gerente
smashingmag
kevinliebholz
reverentgeek
lara
kneath
palkan
![Александра Сватикова [email protected] https://ok.ru/alexandra.svatikova https://polis.mail.ru 2](https://files.speakerdeck.com/presentations/48ce40710e184183a8d42317982ade22/slide_1.jpg){kind=link}
