Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Безопасность интернет-приложений #1 / Риски и у...
Search
Технострим Mail.ru Group
January 09, 2020
Education
210
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Безопасность интернет-приложений #1 / Риски и угрозы [Технострим]
Технострим Mail.ru Group
January 09, 2020
More Decks by Технострим Mail.ru Group
See All by Технострим Mail.ru Group
Введение в ML и BigData разработку
tehnostrim
0
270
Мастер-класс "Бот для мессенджера" | Технострим
tehnostrim
0
150
Data Mining #10 / ЕМ-алгоритм [Технострим]
tehnostrim
0
250
Data Mining #1 / Задачи Data Mining [Технострим]
tehnostrim
0
350
Data Mining #2 / Метрики классификации и регрессии. Метод ближайшего соседа
tehnostrim
0
920
Data Mining #3 / Линейные модели регрессии
tehnostrim
0
230
Data Mining #4 / Линейные модели классификации
tehnostrim
0
310
Data Mining #6 / Решающие деревья
tehnostrim
0
180
Data Mining #5 / Метод опорных векторов
tehnostrim
0
160
Other Decks in Education
See All in Education
Visualisation Techniques - Lecture 8 - Information Visualisation (4019538FNR)
signer
PRO
1
3.1k
「答えを出す」より「わかる」をつくる
kzkmaeda
1
180
!コスパよくインターンに受かる方法!
ruribou
1
280
Visionary Initiative: Materials-Positive Society 「モノの進化をポジティブな社会の原動力に」|Science Tokyo(東京科学大学)
sciencetokyo
PRO
0
500
Course Review - Lecture 13 - Next Generation User Interfaces (4018166FNR)
signer
PRO
0
2.3k
Examen de Selectividad. Geografía junio 2026 (Convocatoria Ordinaria). UCLM
juanmartin2026
0
470
0513
cbtlibrary
0
200
Lectura 2 (PIT : Python Basico)
robintux
0
360
Interaction - Lecture 10 - Information Visualisation (4019538FNR)
signer
PRO
0
2.7k
Laura Wilson - The Quarterly PR Pivot
laurawilsonbseo1
1
360
0506
cbtlibrary
0
200
SARA Annual Report 2025-26
sara2023
1
380
Featured
See All Featured
The Impact of AI in SEO - AI Overviews June 2024 Edition
aleyda
5
1.1k
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
610
The Mindset for Success: Future Career Progression
greggifford
PRO
0
370
Chasing Engaging Ingredients in Design
codingconduct
0
230
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
aleyda
1
2k
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
310
Building Applications with DynamoDB
mza
96
7.1k
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
850
The Limits of Empathy - UXLibs8
cassininazir
1
370
The Language of Interfaces
destraynor
162
27k
Kristin Tynski - Automating Marketing Tasks With AI
techseoconnect
PRO
0
280
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.6k
Transcript
{Безопасность интернет приложений} преподаватель – Александра Сватикова
Александра Сватикова
[email protected]
https://ok.ru/alexandra.svatikova https://polis.mail.ru 2
3 2018 — 2019: 1) Facebook - 50M пользователей 2)
Google+ API 3) Uber 57M пользователей, £133m штраф 4) Coincheck $534M 5) Coinrail $37M
Основные понятия 4
• Конфиденциальность / Confidentiality • Целостность / Integrity • Доступность
/ Availability • Апеллируемость / Non-repudiation 5 Информационная безопасность
• Актив / Asset • Уязвимость / Vulnerability • Атака
/ Attack • Угроза / Threat 6 Ключевые понятия
Spoofing Tampering Repudiation Information disclosure Denial of service Elevation of
privilege 7 Угрозы - STRIDE
Damage Reproducibility Exploitability Affected users Discoverability 8 Риски - DREAD
• Контроль доступа: • Идентификация • Аутентификация • Авторизация •
Управление сессиями 9 Контрмеры
• Валидация входных данных • Обработка ошибок 10 Контрмеры
• Классификация данных • Принцип наименьших привилегий • Криптография 11
Контрмеры
• Security by design • Security in depth 12
Web 101 13
• Same-Origin Policy (SOP) • Изоляция окон и фреймов •
Cross-Origin Resource Sharing (CORS) • Cookies, headers, … 14
15 Same-Origin Policy (SOP) RFC 6454 The Web Origin Concept
https://example.com:8080/path?param=1#xyz
16 Cross-Origin Resource Sharing (CORS) https://www.html5rocks.com/en/tutorials/cors/
17 Cross-Origin Resource Sharing (CORS) Access-Control-Allow-Origin: https://foo.example Access-Control-Allow-Methods: POST, GET,
OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400 https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS
18 Куки RFC 6265, section 5.4: Cookie HTTP/2.0 200 OK
Content-type: text/html Set-Cookie: yummy_cookie=choco Set-Cookie: tasty_cookie=strawberry https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cookie Атрибуты: • Domain, Path • Expires, Max-Age • Secure • HttpOnly • SameSite
• Content-Type • X-Content-Type-Options • X-Frame-Options • Content-Security-Policy 19 Полезные
заголовки
Android 101 20
21
• Android Application Sandbox • Intents • ContentProviders • Permissions
• HTML message channels 22
Почитать https://owasp.org https://developer.mozilla.org/en-US/docs/Web/Security https://security.googleblog.com/2019/04/the-android-platform-security-model.html Попробовать силы https://github.com/OWASP/SecurityShepherd https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project Инструменты https://portswigger.net/burp/freedownload
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project 23 Ссылки