Видео курс HighLoad++ 2017. Безопасность. CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем веб-приложении – курсы ITVDN
ITVDN: курсы программирования
Видеокурсы по
программированию

Заказать звонок

Выбери свою IT специальность

Подписка

Заказать звонок

+38 099 757 27 82

ВИДЕОУРОК №2. CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем веб-приложении

Войдите или зарегестрируйтесь для того чтоб продолжить просмотр бесплатного видео
В докладе будет рассказано, как мы оказались в мире, где перенаправления трафика или, другими словами, утечки маршрутов стали новой нормальностью. Будут рассмотрены риски, которые подобные инциденты создают для конечных ресурсов, и как эти риски превращаются в потери в денежном выражении. Дополнительно будет продемонстрировано, как целенаправленные перенаправления трафика могут сделать уязвимой систему подписи HTTPS-сертификатов.
Читать дальше...
Уязвимости Cross-Site Request Forgery (CSRF) являются "классикой" AppSec и хорошо известны как специалистам по безопасности, так и разработчикам веб-приложений. Сегодня, как правило, при разработке веб-приложений уделяется внимание защите от CSRF-атак, и реализуются механизмы защиты. Также относительно новая технология "SameSite cookie", должна еще больше обезопасить веб-приложения от CSRF. На текущий момент CSRF находится на 8 месте в списке OWASP Top-10, в то время как они находились на 5 месте до 2013 года. Означает ли это, что CSRF-уязвимости стали менее актуальными и "уходят в прошлое"? Практика показывает, что нет. Как правило, разработчики реализуют один из следующих популярных вариантов CSRF-защиты: CSRF tokens, Double Submit cookie, Referer-/Origin-based protection, Content-Type protection. Не очевидные особенности работы или баги отдельных браузеров и самого веб-приложения на практике позволяют обходить CSRF-защиту. В докладе пойдет речь о "трюках", которые позволяют атакующему обходить тот или иной тип CSRF-защиты, а также о том, на что следует обратить внимание разработчику или AppSec-инженеру при защите веб-приложения от CSRF.
Читать дальше...
Защищаемость системы от DDoS (Protectability - The ability to receive protection) - это важный параметр, которому стоит уделять внимание при проектировании. В настоящее время он не сформулирован в явном виде, однако сильно влияет на дальнейшую судьбу системы, особенно если она подвержена риску DDoS-атак. - Уже на этапе проектирования можно обезопасить себя и заложить в систему такие элементы, которые облегчат и повысят эффективность защиты системы от DDoS-атак в будущем. - Какие методы повышения надежности помогают при защите от DDoS, а какие, наоборот, вредят (пример вредного метода - прописывание множества DNS-записей). - Повышаем защищаемость на практике: примеры того, как удавалось защитить приложение от мощной DDoS-атаки путем архитектурного трюка, не имея достаточных мощностей для фильтрации.
Читать дальше...
ПОКАЗАТЬ ВСЕ

Покупай подпискус доступом ко всем курсам и сервисам

Библиотека современных IT знаний в удобном формате

Выбирай свой вариант подписки в зависимости от задач, стоящих перед тобой. Но если нужно пройти полное обучение с нуля до уровня специалиста, то лучше выбирать Базовый или Премиум. А для того чтобы изучить 2-3 новые технологии, или повторить знания, готовясь к собеседованию, подойдет Пакет Стартовый.

Стартовый
  • Все видеокурсы на 3 месяца
  • Тестирование по 10 курсам
  • Проверка 5 домашних заданий
  • Консультация с тренером 30 мин
59.99 $
Оформить подписку
Базовый
  • Все видеокурсы на 6 месяцев
  • Тестирование по 16 курсам
  • Проверка 10 домашних заданий
  • Консультация с тренером 60 мин
89.99 $
Оформить подписку
Премиум
  • Все видеокурсы на 1 год
  • Тестирование по 24 курсам
  • Проверка 20 домашних заданий
  • Консультация с тренером 120 мин
169.99 $
Оформить подписку
комментарии и обсуждения
Notification success