P2P конференция 2011 – 13-15 май 2011

Вместо за 45 минути да се дискутират всевъзможни слабости в различни
системи, уязвимости, и подобни предизвикващи паника теми, акцентираме върху
сигурността като „state of mind“.

Сигурни уеб приложения се създават със ясното съзнаване на съществуващите и
потенциални уязвимости. Разбира се, потенциалните са до голяма степен
непредвидими – но пишейки кода си, човек може да си задава въпроса „Как може
да се заобиколи току-що създаденото от мен ограничение?“

Езиците и технологиите за създаване на уеб приложения не могат да бъдат
обсъдени в една лекциа, дори не и в една конференция така, че да се даде
осъзнаване как да пишем сигурен код. Същото се отнася за всички други
свързани технологии – флаш, gif(ar) (java + gif пример ще бъде показан
съвсем накратко), затова тази лекция ще се съсредоточи само върху начини за
заобикаляне на ограничения, поставени в различни уеб приложения.

Представяне на WebGoat на
OWASP-
какво е WebGoat, как се ползва, ще бъдат показани примери с него,
основно
ще акцентирам на това *защо *човек има нужда да се научи да преодолява
защити, преди да започне да пише сигурен код. Ще бъдат показани различни
инструменти за сканиране за логични пропуски и уязвимости в дизайна и самите
приложения.

След това ще лекцията ще премине към употребата на WAF – web app firewalls,
като пример – modsecurity, и как тяхната употреба може да намали
уязвимостите в една система до 90%, когато това е наложително да стане
веднага и няма възможност да се редактира кода на някое огромно приложение
за по-малко от половин година…

За край на презентацията ще бъдат описани някои фрапантни примери в
българското уеб пространство без да се споменават имена на компании и уеб
студия, целта е те да послужат за една качествена мотивация за защита на
създаваните приложения.

Ако остане време, ще завърша с кратички демота на различни инструменти за
трошене на уеб приложения, бакенд контролен панел на жертви на XSS и тн.