company_banner

Состав табаско: материалы с митапа Backend United #6 по безопасности

    Привет! Это отчёт с шестой встречи Backend United. В этот раз митап был посвящён вопросам безопасности и получил название «Табаско». Спикеры из Skyeng, Авито, Тинькофф и Яндекс.Облака рассказывали про то, как начинающим прокачаться в вопросах безопасности, работу с Sentry и организацию процессов по поиску и устранению уязвимостей разработчиками.


    Под катом — ссылки на видеозаписи выступлений с таймкодами для удобной навигации и ссылки на презентации спикеров.



    Безопасность web-приложений: как ломать и не ломаться — Денис Юрьев, Skyeng


    Денис рассуждал, насколько актуальны вопросы безопасности для разработчика из большой компании и как начинающим в них прокачаться. На примере разных проектов он показал вещи, которые разработчики могут обнаружить и успеть поправить — от неправильной настройки заголовков nginx и XSS до DDoS.



    00:00 — Представление спикера и темы
    01:38 — Насколько актуален вопрос безопасности для разработчика: почему стало плохо веб-сервису Толику
    03:35 — Варианты решений: как сделать так, чтобы Толику хорошо жилось в будущем
    07:19 — Внешние уязвимости и как их ловить: транспорт и веб-сервер
    12:53 — Сторонние уязвимости и что с ними делать: подключаемые пакеты в приложении и системные модули в ОС
    17:13 — Внутренние уязвимости и что с ними делать: код приложения
    29:47 — Итоги, советы и отправные точки


    Посмотреть презентацию Дениса

    Single quote injection to find them all — Александр Трифанов, Авито


    Бодрый сказ об опыте Авито в обнаружения атак на базы данных в реальном времени по ошибкам в Sentry.



    00:04 — Представление спикера и темы
    00:29 — SQL-injections, способы их обнаружения и почему эти способы могут не сработать
    01:52 — Схемы обнаружения уязвимостей в монолитной и микросервисной архитектуре Авито
    03:05 — Как выглядит атака на базу данных
    05:03 — Error tracking software на примере Sentry, наш велосипед и схема его работы
    08:35 — Примеры ложных срабатываний и какое отношения к ним имеют объявления пользователей
    10:13 — Улучшаем признаки атаки на базу данных и распознаем означает ли атака уязвимость
    13:10 — Выводы


    Посмотреть презентацию Александра

    Security Training & Awareness в Тинькофф — Елена Клочкова, Тинькофф


    Доклад о том, как в Тинькофф проводят обучение безопасности и повышают интерес сотрудников к поиску и устранению уязвимостей.



    00:00 — Представление спикера и темы
    00:07 — Как всё работало два года назад, что уже было в AppSec и какие были проблемы
    02:36 — Что нужно было сделать для решения проблем
    03:12 — Выбор и выстраивание процессов по поиску уязвимостей: онбординг новых сотрудников, security champions, internal bug-bounty и другие инициативы
    14:56 — Итоги внедрения новых процессов
    15:45 — Новая проблема: найденных уязвимостей больше, чем фиксов
    16:07 — Эволюция процесса по устранению уязвимостей
    23:10 — Результаты внедрения политики устранения уязвимостей


    Посмотреть презентацию Елены

    DevSecOps для облачного провайдера: опыт Яндекс.Облака — Антон Жаболенко, Яндекс.Облако


    Антон поделился типовыми кейсами безопасности для облачного провайдера. Из доклада вы также узнаете, как внедрённые процессы безопасности в Яндекс.Облаке помогают бороться с различными угрозами.



    00:00 — Представление спикера и темы
    01:13 — Особенности безопасности облаков
    07:25 — Подход к обеспечению безопасности Яндекс.Облака
    09:42 — Security development lifecycle в Яндекс.Облаке
    24:59 — Типовые уязвимости облачных сервисов
    28:05 — Application Sandboxing
    30:58 — Complience и разработка
    32:31 — Production access control hardenings


    Посмотреть презентацию Антона

    До скорых встреч!

    Авито
    У нас живут ваши объявления

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое