Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

Безопасность интернет-приложений #1 / Риски и у...

Avatar for Технострим Mail.ru Group Технострим Mail.ru Group
January 09, 2020
Education
0
200

Безопасность интернет-приложений #1 / Риски и угрозы [Технострим]

Avatar for Технострим Mail.ru Group

Технострим Mail.ru Group

January 09, 2020
Tweet

More Decks by Технострим Mail.ru Group

See All by Технострим Mail.ru Group
Введение в ML и BigData разработку
Avatar for Технострим Mail.ru Group tehnostrim
0
250
Мастер-класс "Бот для мессенджера" | Технострим
Avatar for Технострим Mail.ru Group tehnostrim
0
140
Data Mining #10 / ЕМ-алгоритм [Технострим]
Avatar for Технострим Mail.ru Group tehnostrim
0
230
Data Mining #1 / Задачи Data Mining [Технострим]
Avatar for Технострим Mail.ru Group tehnostrim
0
340
Data Mining #2 / Метрики классификации и регрессии. Метод ближайшего соседа
Avatar for Технострим Mail.ru Group tehnostrim
0
830
Data Mining #3 / Линейные модели регрессии
Avatar for Технострим Mail.ru Group tehnostrim
0
210
Data Mining #4 / Линейные модели классификации
Avatar for Технострим Mail.ru Group tehnostrim
0
290
Data Mining #6 / Решающие деревья
Avatar for Технострим Mail.ru Group tehnostrim
0
160
Data Mining #5 / Метод опорных векторов
Avatar for Технострим Mail.ru Group tehnostrim
0
150

Other Decks in Education

See All in Education
Web Application Frameworks - Lecture 3 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.1k
1014
Avatar for cbtlibrary cbtlibrary
0
490
1021
Avatar for cbtlibrary cbtlibrary
0
370
Web Search and SEO - Lecture 10 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
2
3k
コマンドラインを見直そう(1995年からタイムリープ)
Avatar for sapi_kawahara sapi_kawahara
0
550
JavaScript - Lecture 6 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.1k
NUTMEG紹介スライド
Avatar for Mugicha mugiiicha
0
220
20250910_エンジニアの成長は自覚するところから_サポーターズ勉強会
Avatar for 森田 一平 ippei0923
0
350
KBS新事業創造体験2025_科目説明会
Avatar for Yasuchika Wakayama yasuchikawakayama
0
150
仏教の源流からの奈良県中南和_奈良まほろば館‗飛鳥・藤原DAO/asuka-fujiwara_Saraswati
Avatar for Tomohiro Kimura tkimura12
0
160
ROSConJP 2025 発表スライド
Avatar for ぐるぐる f0reacharr
0
270
自分だけの、誰も想像できないキャリアの育て方 〜偶然から始めるキャリアプラン〜 / Career planning starting by luckly v2
Avatar for VTRyo vtryo
1
320

Featured

See All Featured
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
31
6.4k
Visualization
Avatar for Eitan Lees eitanlees
150
16k
KATA
Avatar for Megan Lloyd mclloyd
PRO
32
15k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
8.3k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
527
40k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
34
2.5k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
174
15k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
31
9.8k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3.2k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
2.2k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
58
6.1k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
700

Transcript

  1. {Безопасность интернет приложений} преподаватель – Александра Сватикова

  2. Александра Сватикова [email protected] https://ok.ru/alexandra.svatikova https://polis.mail.ru 2

  3. 3 2018 — 2019: 1) Facebook - 50M пользователей 2)

    Google+ API 3) Uber 57M пользователей, £133m штраф 4) Coincheck $534M 5) Coinrail $37M

  4. Основные понятия 4

  5. • Конфиденциальность / Confidentiality • Целостность / Integrity • Доступность

    / Availability • Апеллируемость / Non-repudiation 5 Информационная безопасность

  6. • Актив / Asset • Уязвимость / Vulnerability • Атака

    / Attack • Угроза / Threat 6 Ключевые понятия

  7. Spoofing Tampering Repudiation Information disclosure Denial of service Elevation of

    privilege 7 Угрозы - STRIDE

  8. Damage Reproducibility Exploitability Affected users Discoverability 8 Риски - DREAD

  9. • Контроль доступа: • Идентификация • Аутентификация • Авторизация •

    Управление сессиями 9 Контрмеры

  10. • Валидация входных данных • Обработка ошибок 10 Контрмеры

  11. • Классификация данных • Принцип наименьших привилегий • Криптография 11

    Контрмеры

  12. • Security by design • Security in depth 12

  13. Web 101 13

  14. • Same-Origin Policy (SOP) • Изоляция окон и фреймов •

    Cross-Origin Resource Sharing (CORS) • Cookies, headers, … 14

  15. 15 Same-Origin Policy (SOP) RFC 6454 The Web Origin Concept

    https://example.com:8080/path?param=1#xyz

  16. 16 Cross-Origin Resource Sharing (CORS) https://www.html5rocks.com/en/tutorials/cors/

  17. 17 Cross-Origin Resource Sharing (CORS) Access-Control-Allow-Origin: https://foo.example Access-Control-Allow-Methods: POST, GET,

    OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400 https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

  18. 18 Куки RFC 6265, section 5.4: Cookie HTTP/2.0 200 OK

    Content-type: text/html Set-Cookie: yummy_cookie=choco Set-Cookie: tasty_cookie=strawberry https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cookie Атрибуты: • Domain, Path • Expires, Max-Age • Secure • HttpOnly • SameSite

  19. • Content-Type • X-Content-Type-Options • X-Frame-Options • Content-Security-Policy 19 Полезные

    заголовки

  20. Android 101 20

  21. 21

  22. • Android Application Sandbox • Intents • ContentProviders • Permissions

    • HTML message channels 22

  23. Почитать https://owasp.org https://developer.mozilla.org/en-US/docs/Web/Security https://security.googleblog.com/2019/04/the-android-platform-security-model.html Попробовать силы https://github.com/OWASP/SecurityShepherd https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project Инструменты https://portswigger.net/burp/freedownload

    https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project 23 Ссылки