Как стать автором
Обновить
244.22
Рейтинг
Авито
У нас живут ваши объявления

Состав табаско: материалы с митапа Backend United #6 по безопасности

Блог компании Авито Информационная безопасность *Микросервисы *

Привет! Это отчёт с шестой встречи Backend United. В этот раз митап был посвящён вопросам безопасности и получил название «Табаско». Спикеры из Skyeng, Авито, Тинькофф и Яндекс.Облака рассказывали про то, как начинающим прокачаться в вопросах безопасности, работу с Sentry и организацию процессов по поиску и устранению уязвимостей разработчиками.


Под катом — ссылки на видеозаписи выступлений с таймкодами для удобной навигации и ссылки на презентации спикеров.



Безопасность web-приложений: как ломать и не ломаться — Денис Юрьев, Skyeng


Денис рассуждал, насколько актуальны вопросы безопасности для разработчика из большой компании и как начинающим в них прокачаться. На примере разных проектов он показал вещи, которые разработчики могут обнаружить и успеть поправить — от неправильной настройки заголовков nginx и XSS до DDoS.



00:00 — Представление спикера и темы
01:38 — Насколько актуален вопрос безопасности для разработчика: почему стало плохо веб-сервису Толику
03:35 — Варианты решений: как сделать так, чтобы Толику хорошо жилось в будущем
07:19 — Внешние уязвимости и как их ловить: транспорт и веб-сервер
12:53 — Сторонние уязвимости и что с ними делать: подключаемые пакеты в приложении и системные модули в ОС
17:13 — Внутренние уязвимости и что с ними делать: код приложения
29:47 — Итоги, советы и отправные точки


Посмотреть презентацию Дениса

Single quote injection to find them all — Александр Трифанов, Авито


Бодрый сказ об опыте Авито в обнаружения атак на базы данных в реальном времени по ошибкам в Sentry.



00:04 — Представление спикера и темы
00:29 — SQL-injections, способы их обнаружения и почему эти способы могут не сработать
01:52 — Схемы обнаружения уязвимостей в монолитной и микросервисной архитектуре Авито
03:05 — Как выглядит атака на базу данных
05:03 — Error tracking software на примере Sentry, наш велосипед и схема его работы
08:35 — Примеры ложных срабатываний и какое отношения к ним имеют объявления пользователей
10:13 — Улучшаем признаки атаки на базу данных и распознаем означает ли атака уязвимость
13:10 — Выводы


Посмотреть презентацию Александра

Security Training & Awareness в Тинькофф — Елена Клочкова, Тинькофф


Доклад о том, как в Тинькофф проводят обучение безопасности и повышают интерес сотрудников к поиску и устранению уязвимостей.



00:00 — Представление спикера и темы
00:07 — Как всё работало два года назад, что уже было в AppSec и какие были проблемы
02:36 — Что нужно было сделать для решения проблем
03:12 — Выбор и выстраивание процессов по поиску уязвимостей: онбординг новых сотрудников, security champions, internal bug-bounty и другие инициативы
14:56 — Итоги внедрения новых процессов
15:45 — Новая проблема: найденных уязвимостей больше, чем фиксов
16:07 — Эволюция процесса по устранению уязвимостей
23:10 — Результаты внедрения политики устранения уязвимостей


Посмотреть презентацию Елены

DevSecOps для облачного провайдера: опыт Яндекс.Облака — Антон Жаболенко, Яндекс.Облако


Антон поделился типовыми кейсами безопасности для облачного провайдера. Из доклада вы также узнаете, как внедрённые процессы безопасности в Яндекс.Облаке помогают бороться с различными угрозами.



00:00 — Представление спикера и темы
01:13 — Особенности безопасности облаков
07:25 — Подход к обеспечению безопасности Яндекс.Облака
09:42 — Security development lifecycle в Яндекс.Облаке
24:59 — Типовые уязвимости облачных сервисов
28:05 — Application Sandboxing
30:58 — Complience и разработка
32:31 — Production access control hardenings


Посмотреть презентацию Антона

До скорых встреч!

Теги:
Хабы:
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 1.8K
Комментарии Комментировать

Информация

Дата основания
2007
Местоположение
Россия
Сайт
avito.tech
Численность
1 001–5 000 человек
Дата регистрации