Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Безопасность интернет-приложений #1 / Риски и у...

Avatar for Технострим Mail.ru Group Технострим Mail.ru Group
January 09, 2020
Education
0
200

Безопасность интернет-приложений #1 / Риски и угрозы [Технострим]

Avatar for Технострим Mail.ru Group

Технострим Mail.ru Group

January 09, 2020
Tweet

More Decks by Технострим Mail.ru Group

See All by Технострим Mail.ru Group
Введение в ML и BigData разработку
Avatar for Технострим Mail.ru Group tehnostrim
0
270
Мастер-класс "Бот для мессенджера" | Технострим
Avatar for Технострим Mail.ru Group tehnostrim
0
150
Data Mining #10 / ЕМ-алгоритм [Технострим]
Avatar for Технострим Mail.ru Group tehnostrim
0
230
Data Mining #1 / Задачи Data Mining [Технострим]
Avatar for Технострим Mail.ru Group tehnostrim
0
350
Data Mining #2 / Метрики классификации и регрессии. Метод ближайшего соседа
Avatar for Технострим Mail.ru Group tehnostrim
0
880
Data Mining #3 / Линейные модели регрессии
Avatar for Технострим Mail.ru Group tehnostrim
0
220
Data Mining #4 / Линейные модели классификации
Avatar for Технострим Mail.ru Group tehnostrim
0
290
Data Mining #6 / Решающие деревья
Avatar for Технострим Mail.ru Group tehnostrim
0
170
Data Mining #5 / Метод опорных векторов
Avatar for Технострим Mail.ru Group tehnostrim
0
150

Other Decks in Education

See All in Education
いわゆる「ふつう」のキャリアを歩んだ人の割合(若者向け)
Avatar for marimari hysmrk
0
310
HyRead2526
Avatar for cbtlibrary cbtlibrary
0
200
都市の形成要因と 「都市の余白」のあり方
Avatar for S.SAKAMON sakamon
0
160
CSS3 and Responsive Web Design - Lecture 5 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
1
3.1k
渡辺研Slackの使い方 / Slack Local Rule
Avatar for kaityo256 kaityo256
PRO
10
11k
おひとり様Organizations管理者もルートアクセス管理を有効にしよう!
Avatar for amarelo_n24 amarelo_n24
1
100
LotusScript でエージェント情報を出力してみた
Avatar for Haruyuki Nakano harunakano
0
120
悩める リーダー達に 届けたい書籍|レジリエントマネジメント 書籍イントロダクション-260126
Avatar for mimoza60 mimoza60
0
320
学習指導要領と解説に基づく学習内容の構造化の試み / Course of study Commentary LOD JAET 2025
Avatar for Masao Takaku masao
0
130
NUTMEG紹介スライド
Avatar for Mugicha mugiiicha
0
930
XML and Related Technologies - Lecture 7 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.2k
TeXで変える教育現場
Avatar for doratex doratex
1
13k

Featured

See All Featured
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.8k
Highjacked: Video Game Concept Design
Avatar for Ryan Kendrick rkendrick25
PRO
1
290
Navigating the moral maze — ethical principles for Al-driven product design
Avatar for Skipper Chong Warson skipperchong
2
250
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
47
7.9k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
39
3k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
2.3k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
Avatar for Katarina Dahlin katarinadahlin
PRO
0
3.4k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
508
140k
Odyssey Design
Avatar for Ryan Kendrick rkendrick25
PRO
1
500
Agile Actions for Facilitating Distributed Teams - ADO2019
Avatar for Mark Kilby mkilby
0
120
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
260
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
380

Transcript

  1. {Безопасность интернет приложений} преподаватель – Александра Сватикова

  2. Александра Сватикова [email protected] https://ok.ru/alexandra.svatikova https://polis.mail.ru 2

  3. 3 2018 — 2019: 1) Facebook - 50M пользователей 2)

    Google+ API 3) Uber 57M пользователей, £133m штраф 4) Coincheck $534M 5) Coinrail $37M

  4. Основные понятия 4

  5. • Конфиденциальность / Confidentiality • Целостность / Integrity • Доступность

    / Availability • Апеллируемость / Non-repudiation 5 Информационная безопасность

  6. • Актив / Asset • Уязвимость / Vulnerability • Атака

    / Attack • Угроза / Threat 6 Ключевые понятия

  7. Spoofing Tampering Repudiation Information disclosure Denial of service Elevation of

    privilege 7 Угрозы - STRIDE

  8. Damage Reproducibility Exploitability Affected users Discoverability 8 Риски - DREAD

  9. • Контроль доступа: • Идентификация • Аутентификация • Авторизация •

    Управление сессиями 9 Контрмеры

  10. • Валидация входных данных • Обработка ошибок 10 Контрмеры

  11. • Классификация данных • Принцип наименьших привилегий • Криптография 11

    Контрмеры

  12. • Security by design • Security in depth 12

  13. Web 101 13

  14. • Same-Origin Policy (SOP) • Изоляция окон и фреймов •

    Cross-Origin Resource Sharing (CORS) • Cookies, headers, … 14

  15. 15 Same-Origin Policy (SOP) RFC 6454 The Web Origin Concept

    https://example.com:8080/path?param=1#xyz

  16. 16 Cross-Origin Resource Sharing (CORS) https://www.html5rocks.com/en/tutorials/cors/

  17. 17 Cross-Origin Resource Sharing (CORS) Access-Control-Allow-Origin: https://foo.example Access-Control-Allow-Methods: POST, GET,

    OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400 https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

  18. 18 Куки RFC 6265, section 5.4: Cookie HTTP/2.0 200 OK

    Content-type: text/html Set-Cookie: yummy_cookie=choco Set-Cookie: tasty_cookie=strawberry https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cookie Атрибуты: • Domain, Path • Expires, Max-Age • Secure • HttpOnly • SameSite

  19. • Content-Type • X-Content-Type-Options • X-Frame-Options • Content-Security-Policy 19 Полезные

    заголовки

  20. Android 101 20

  21. 21

  22. • Android Application Sandbox • Intents • ContentProviders • Permissions

    • HTML message channels 22

  23. Почитать https://owasp.org https://developer.mozilla.org/en-US/docs/Web/Security https://security.googleblog.com/2019/04/the-android-platform-security-model.html Попробовать силы https://github.com/OWASP/SecurityShepherd https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project Инструменты https://portswigger.net/burp/freedownload

    https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project 23 Ссылки