Состав табаско: материалы с митапа Backend United #6 по безопасности

Привет! Это отчёт с шестой встречи Backend United. В этот раз митап был посвящён вопросам безопасности и получил название «Табаско». Спикеры из Skyeng, Авито, Тинькофф и Яндекс.Облака рассказывали про то, как начинающим прокачаться в вопросах безопасности, работу с Sentry и организацию процессов по поиску и устранению уязвимостей разработчиками.

Под катом — ссылки на видеозаписи выступлений с таймкодами для удобной навигации и ссылки на презентации спикеров.

seqjbb3utnt0nrckwnivqdlzxr4.jpeg


Безопасность web-приложений: как ломать и не ломаться — Денис Юрьев, Skyeng

Денис рассуждал, насколько актуальны вопросы безопасности для pразработчика из большой компании и как начинающим в них прокачаться. На примере разных проектов он показал вещи, которые разработчики могут обнаружить и успеть поправить — от неправильной настройки заголовков nginx и XSS до DDoS.

uz6u_eovt5s6q0dw4xwgi3gxnno.png

00:00 — Представление спикера и темы
01:38 — Насколько актуален вопрос безопасности для разработчика: почему стало плохо веб-сервису Толику
03:35 — Варианты решений: как сделать так, чтобы Толику хорошо жилось в будущем
07:19 — Внешние уязвимости и как их ловить: транспорт и веб-сервер
12:53 — Сторонние уязвимости и что с ними делать: подключаемые пакеты в приложении и системные модули в ОС
17:13 — Внутренние уязвимости и что с ними делать: код приложения
29:47 — Итоги, советы и отправные точки


Посмотреть презентацию Дениса

Single quote injection to find them all — Александр Трифанов, Авито

Бодрый сказ об опыте Авито в обнаружения атак на базы данных в реальном времени по ошибкам в Sentry.

vtkwqhxdzbkmwtson0xjyv75wbq.png

00:04 — Представление спикера и темы
00:29 — SQL-injections, способы их обнаружения и почему эти способы могут не сработать
01:52 — Схемы обнаружения уязвимостей в монолитной и микросервисной архитектуре Авито
03:05 — Как выглядит атака на базу данных
05:03 — Error tracking software на примере Sentry, наш велосипед и схема его работы
08:35 — Примеры ложных срабатываний и какое отношения к ним имеют объявления пользователей
10:13 — Улучшаем признаки атаки на базу данных и распознаем означает ли атака уязвимость
13:10 — Выводы


Посмотреть презентацию Александра

Security Training & Awareness в Тинькофф — Елена Клочкова, Тинькофф

Доклад о том, как в Тинькофф проводят обучение безопасности и повышают интерес сотрудников к поиску и устранению уязвимостей.

65nlyymdhrhstvj3nonielevlug.png

00:00 — Представление спикера и темы
00:07 — Как всё работало два года назад, что уже было в AppSec и какие были проблемы
02:36 — Что нужно было сделать для решения проблем
03:12 — Выбор и выстраивание процессов по поиску уязвимостей: онбординг новых сотрудников, security champions, internal bug-bounty и другие инициативы
14:56 — Итоги внедрения новых процессов
15:45 — Новая проблема: найденных уязвимостей больше, чем фиксов
16:07 — Эволюция процесса по устранению уязвимостей
23:10 — Результаты внедрения политики устранения уязвимостей


Посмотреть презентацию Елены

DevSecOps для облачного провайдера: опыт Яндекс.Облака — Антон Жаболенко, Яндекс.Облако

Антон поделился типовыми кейсами безопасности для облачного провайдера. Из доклада вы также узнаете, как внедрённые процессы безопасности в Яндекс.Облаке помогают бороться с различными угрозами.

amaoe8jr79xxtklwa9xmiz_gzzw.png

00:00 — Представление спикера и темы
01:13 — Особенности безопасности облаков
07:25 — Подход к обеспечению безопасности Яндекс.Облака
09:42 — Security development lifecycle в Яндекс.Облаке
24:59 — Типовые уязвимости облачных сервисов
28:05 — Application Sandboxing
30:58 — Complience и разработка
32:31 — Production access control hardenings


Посмотреть презентацию Антона

До скорых встреч!

Дата: 2020-06-29 14:08:19

Источник: https://habr.com/ru/post/508730/