SlideShare a Scribd company logo

Разработка безопасных веб приложений

Download as PPTX, PDF
Andrey Beshkov
Andrey Beshkov

Как применить методологию и инструменты Microsoft SDL для того чтобы в ваших веб приложения было меньше уязвимостей. В свою очередь это позволит тратить меньше сил и средств на обслуживание вашего веб приложения.

Technology
1 of 34
Бешков Андрей Руководитель программы информационной безопасности Microsoft http://beshkov.ru http://twitter.com/abeshkov abeshkov@microsoft.com
• Сроки запуска проекта горят • Нет ресурсов и специалистов для обеспечения безопасных практик • Мы стартап – нам нужно быстрее стать популярными и заработать много денег • Безопасность необходимое зло
после выпуска дороже в 30 раз Относительная стоимость устранения ошибок 30 Выпуск 25 20 15 10 5 0 Требования/ Интеграция/ Финальное После Кодирование Архитектура Тестирование тестирование выпуска компонент Источник: National Institute of Standards and Technology
Критические уязвимости через год после выпуска 70 60 50 40 30 20 10 0 Windows XP Windows Vista Windows 7
3,500 3,280 3,322 3,042 2,822 2,869 3,000 2,594 Не Microsoft 2,417 2,500 2,215 2,000 1,500 1,000 500 Microsoft 170 152 97 93 146 113 129 145 0 2H06 1H07 2H07 1H08 2H08 1H09 2H09 1H10
3,500 3079 3110 3,000 2807 2547 2573 2,500 2351 2161 1943 2,000 1,500 1,000 500 259 242 276 310 256 207 237 196 112 96 79 0 122 2H06 1H07 2H07 1H08 2H08 1H09 2H09 1H10 Приложения Браузеры ОС
Sun Solaris 10 1191 Red Hat Enterprise Linux Server v.5 1580 FreeBSD 6.x 86 Microsoft Windows Server 2008 302 Apple Mac OS X 1555 Red Hat Enterprise Linux Client v.5 1709 Ubuntu Linux 8.04 (выпуск 2008 год) 1397 Windows XP (выпуск 2001 год) 498 Windows 7 170 Oracle Database 11.x 315 IBM DB2 9.x 98 MySQL 5.x 66 Microsoft SQL Server 2008 1 Mozilla Firefox 4.0 (04.2011) 14 Firefox 3.5.x (2009) 161 Opera 11 (10.2010) 10 Opera 9.x (2008) 56 Google Chrome 11 (04.2011) 30 Chrome 5.x (5.2010) 56 Microsoft Internet Explorer 9 (03.2011) 18 Explorer 8.x (3.2009) 104 Cisco ASA 7.x 71 Microsoft ISA Server 2006 7 Microsoft Forefront TMG 2 В ядре Linux 2.6 — 596 уязвимостей . Почти в 3 раза больше уязвимостей чем в Windows 7
SDL – обязательная политика в Майкрософт с 2004 г. Обуче Требо Проекти Реали Провер Реагиро Выпуск ние вания рование зация ка вание Начальное Определение Моделирован Выбор Динамическое План Выполнение владельца от ие угроз инструментов тестирование реагирования плана обучение бизнеса и fuzzing реагирования Анализ Блокировани Заключитель- по Анализ опасных е Проверка ный анализ на инциденты основам рисков областей запрещенных моделей угроз безопасности безопасно безопасности функций и опасных Архив сти и конфиден- Статический областей выпусков циальности анализ Определение требований к качеству Обучение Технология и процесс Ответственность Постоянные улучшения процессов
SDL THREAT MODELING TOOL Формализует и упрощает моделирование угроз так чтобы им мог заниматься архитектор
Как написать безопасный код на С++, Java, Perl, PHP, ASP. NET Защищенный код для Windows Vista Игра «Spot the vuln» 10 уязвимостей веб проектов - OWASP Top Ten Курсы SANS Книга по SDL Упрощенный SDL Курсы по SDL
ПРОТИВОДЕЙСТВИЯ АТАКЕ • Не использовать GET-запросы для внесения изменений в БД и доступа к важным данным
ПРОТИВОДЕЙСТВИЯ АТАКЕ ValidateRequest ValidateInput AllowHtml
ПРОТИВОДЕЙСТВИЯ АТАКЕ
ПРОТИВОДЕЙСТВИЯ АТАКЕ HTTP Referer Html.AntiForgeryToken() ValidateAntiForgeryToken ViewStateUserKey
МЕТОД УСТАРЕЛ, ПРИМЕНИМ ТОЛЬКО ДЛЯ СТАРЫХ БРАУЗЕРОВ [{"Id":1,"Amt":3.14},{"Id":2,"Amt":2.72}] Конструкция <script src="http://example.com/Home/AdminBalances"></script> загружает JSON-массив как валидный JavaScript код и выполняет его. __defineSetter__
ПРОТИВОДЕЙСТВИЯ АТАКЕ {"d" : "bankaccountnumber", "$1234.56" } __defineSetter__ для данной атаки больше
ХАРАКТЕРНО ДЛЯ ASP.NET MVC
ПРОТИВОДЕЙСТВИЯ АТАКЕ • [Bind(Include = ―Title‖, Exclude = ―ViewCount‖)] • Использовать Data Transfer Objects (DTO) - модели данных представлений, отличные от моделей данных
<%@Page ViewStateEncryptionMode="Always" %>
WPL • http://wpl.codeplex.com/
SECURITY APPLICATION BLOCK
ПРОВЕРКА КОНФИГУРАЦИЙ ASP.NET 2.0
WEB APPLICATION CONFIGURATION ANALYZER
Вебсайт SDL The Simplified Implementation of the SDL Блог об SDL Microsoft Enterprise Library Microsoft Web Protection Library Best Practice Analyzer for ASP.NET Microsoft Web Application Configuration Analyzer v2.0
http://beshkov.ru http://twitter.com/abeshkov abeshkov@microsoft.com

Recommended

Positive Hack Days. Гуркин. Нулевой день для SCADA (0-day)
Positive Hack Days. Гуркин. Нулевой день для SCADA (0-day)Positive Hack Days. Гуркин. Нулевой день для SCADA (0-day)
Positive Hack Days. Гуркин. Нулевой день для SCADA (0-day)
Positive Hack Days
 
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Sigma Software
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar Security
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
Solar Security
 
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
GoQA
 
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Sigma Software
 
Eset. Пётр Лебедев. "Защита виртуальных систем"
Eset. Пётр Лебедев. "Защита виртуальных систем"Eset. Пётр Лебедев. "Защита виртуальных систем"
Eset. Пётр Лебедев. "Защита виртуальных систем"
Expolink
 
VMware User Group Community Russia, Константин Пичугов
VMware User Group Community Russia, Константин ПичуговVMware User Group Community Russia, Константин Пичугов
VMware User Group Community Russia, Константин Пичугов
mikhail.mikheev
 

Recommended

Positive Hack Days. Гуркин. Нулевой день для SCADA (0-day)
Positive Hack Days. Гуркин. Нулевой день для SCADA (0-day)Positive Hack Days. Гуркин. Нулевой день для SCADA (0-day)
Positive Hack Days. Гуркин. Нулевой день для SCADA (0-day)
Positive Hack Days
 
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Sigma Software
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar Security
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
Solar Security
 
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
GoQA
 
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Sigma Software
 
Eset. Пётр Лебедев. "Защита виртуальных систем"
Eset. Пётр Лебедев. "Защита виртуальных систем"Eset. Пётр Лебедев. "Защита виртуальных систем"
Eset. Пётр Лебедев. "Защита виртуальных систем"
Expolink
 
VMware User Group Community Russia, Константин Пичугов
VMware User Group Community Russia, Константин ПичуговVMware User Group Community Russia, Константин Пичугов
VMware User Group Community Russia, Константин Пичугов
mikhail.mikheev
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCode
Solar Security
 
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
UralCIO
 
Acronis Защита данных нового поколения
Acronis Защита данных нового поколенияAcronis Защита данных нового поколения
Acronis Защита данных нового поколения
ЭЛВИС-ПЛЮС
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Solar Security
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "
Expolink
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
Solar Security
 
новый уровень безопасности бизнеса с Eset
новый уровень безопасности бизнеса с Esetновый уровень безопасности бизнеса с Eset
новый уровень безопасности бизнеса с Eset
Expolink
 
Sw2009 Kurulum Oku
Sw2009 Kurulum OkuSw2009 Kurulum Oku
Sw2009 Kurulum Oku
guest8d9fa0
 
Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей
Solar Security
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
Solar Security
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
SQALab
 
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОДТенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОД
Cisco Russia
 
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Cisco Russia
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объекты
Айдар Гилязов
 
Методы разработки безопасного ПО
Методы разработки безопасного ПОМетоды разработки безопасного ПО
Методы разработки безопасного ПО
Andrey Beshkov
 
Tfs Overview And Architecture (www.cmcons.com)
Tfs Overview And Architecture (www.cmcons.com)Tfs Overview And Architecture (www.cmcons.com)
Tfs Overview And Architecture (www.cmcons.com)
Alexander Novichkov
 
Практические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDLПрактические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDL
Andrey Beshkov
 
Andrey Beshkov - Behind the Window Update Scenes. From vulnerability to patсh
Andrey Beshkov - Behind the Window Update Scenes. From vulnerability to patсhAndrey Beshkov - Behind the Window Update Scenes. From vulnerability to patсh
Andrey Beshkov - Behind the Window Update Scenes. From vulnerability to patсh
DefconRussia
 
FrontEndConf 2015: Microsoft Edge and Web Apps Platfrom in Windows 10
FrontEndConf 2015: Microsoft Edge and Web Apps Platfrom in Windows 10FrontEndConf 2015: Microsoft Edge and Web Apps Platfrom in Windows 10
FrontEndConf 2015: Microsoft Edge and Web Apps Platfrom in Windows 10
Constantin Kichinsky
 
Microsoft Edge и платформа веб-приложений в Windows 10 / Константин Кичинский...
Microsoft Edge и платформа веб-приложений в Windows 10 / Константин Кичинский...Microsoft Edge и платформа веб-приложений в Windows 10 / Константин Кичинский...
Microsoft Edge и платформа веб-приложений в Windows 10 / Константин Кичинский...
Ontico
 
Desktop app based on node js and html5
Desktop app based on node js and html5Desktop app based on node js and html5
Desktop app based on node js and html5
Provectus
 
Реализация тестового фреймворка на основе OPEN-SOURCE инструментов
Реализация тестового фреймворка на основе OPEN-SOURCE инструментовРеализация тестового фреймворка на основе OPEN-SOURCE инструментов
Реализация тестового фреймворка на основе OPEN-SOURCE инструментов
SQALab
 

More Related Content

What's hot

актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
UralCIO
 
новый уровень безопасности бизнеса с Eset
новый уровень безопасности бизнеса с Esetновый уровень безопасности бизнеса с Eset
новый уровень безопасности бизнеса с Eset
Expolink
 

What's hot (14)

Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCode
 
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
актуальные угрозы информационной безопасности. конкурентные преимущества бизн...
 
Acronis Защита данных нового поколения
Acronis Защита данных нового поколенияAcronis Защита данных нового поколения
Acronis Защита данных нового поколения
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
 
новый уровень безопасности бизнеса с Eset
новый уровень безопасности бизнеса с Esetновый уровень безопасности бизнеса с Eset
новый уровень безопасности бизнеса с Eset
 
Sw2009 Kurulum Oku
Sw2009 Kurulum OkuSw2009 Kurulum Oku
Sw2009 Kurulum Oku
 
Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
 
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОДТенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОД
 
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объекты
 

Similar to Разработка безопасных веб приложений

Практические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDLПрактические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDL
Andrey Beshkov
 
Microsoft Edge и платформа веб-приложений в Windows 10 / Константин Кичинский...
Microsoft Edge и платформа веб-приложений в Windows 10 / Константин Кичинский...Microsoft Edge и платформа веб-приложений в Windows 10 / Константин Кичинский...
Microsoft Edge и платформа веб-приложений в Windows 10 / Константин Кичинский...
Ontico
 
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеСквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
Cisco Russia
 
Тестирование и оптимизация 1С-Битрикс (Александр Демидов, Олег Бунин)
Тестирование и оптимизация 1С-Битрикс (Александр Демидов, Олег Бунин)Тестирование и оптимизация 1С-Битрикс (Александр Демидов, Олег Бунин)
Тестирование и оптимизация 1С-Битрикс (Александр Демидов, Олег Бунин)
Ontico
 
DS Activity Monitor
DS Activity MonitorDS Activity Monitor
DS Activity Monitor
mekhos
 
Эволюция BackDoor.Flashback
Эволюция BackDoor.FlashbackЭволюция BackDoor.Flashback
Эволюция BackDoor.Flashback
hexminer
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
ebuc
 

Similar to Разработка безопасных веб приложений (20)

Методы разработки безопасного ПО
Методы разработки безопасного ПОМетоды разработки безопасного ПО
Методы разработки безопасного ПО
 
Tfs Overview And Architecture (www.cmcons.com)
Tfs Overview And Architecture (www.cmcons.com)Tfs Overview And Architecture (www.cmcons.com)
Tfs Overview And Architecture (www.cmcons.com)
 
Практические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDLПрактические аспекты разработки безопасного кода с помощью Microsoft SDL
Практические аспекты разработки безопасного кода с помощью Microsoft SDL
 
Andrey Beshkov - Behind the Window Update Scenes. From vulnerability to patсh
Andrey Beshkov - Behind the Window Update Scenes. From vulnerability to patсhAndrey Beshkov - Behind the Window Update Scenes. From vulnerability to patсh
Andrey Beshkov - Behind the Window Update Scenes. From vulnerability to patсh
 
FrontEndConf 2015: Microsoft Edge and Web Apps Platfrom in Windows 10
FrontEndConf 2015: Microsoft Edge and Web Apps Platfrom in Windows 10FrontEndConf 2015: Microsoft Edge and Web Apps Platfrom in Windows 10
FrontEndConf 2015: Microsoft Edge and Web Apps Platfrom in Windows 10
 
Microsoft Edge и платформа веб-приложений в Windows 10 / Константин Кичинский...
Microsoft Edge и платформа веб-приложений в Windows 10 / Константин Кичинский...Microsoft Edge и платформа веб-приложений в Windows 10 / Константин Кичинский...
Microsoft Edge и платформа веб-приложений в Windows 10 / Константин Кичинский...
 
Desktop app based on node js and html5
Desktop app based on node js and html5Desktop app based on node js and html5
Desktop app based on node js and html5
 
Реализация тестового фреймворка на основе OPEN-SOURCE инструментов
Реализация тестового фреймворка на основе OPEN-SOURCE инструментовРеализация тестового фреймворка на основе OPEN-SOURCE инструментов
Реализация тестового фреймворка на основе OPEN-SOURCE инструментов
 
Open Source Testing Framework: real project example and best practices
Open Source Testing Framework: real project example and best practicesOpen Source Testing Framework: real project example and best practices
Open Source Testing Framework: real project example and best practices
 
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеСквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
 
Миграция JIRA - безобразие или безрассудство
Миграция JIRA - безобразие или безрассудствоМиграция JIRA - безобразие или безрассудство
Миграция JIRA - безобразие или безрассудство
 
Микросервисы в .NET Core
Микросервисы в .NET CoreМикросервисы в .NET Core
Микросервисы в .NET Core
 
Open source technologies in Microsoft cloud - MS SWIT 2014
Open source technologies in Microsoft cloud - MS SWIT 2014Open source technologies in Microsoft cloud - MS SWIT 2014
Open source technologies in Microsoft cloud - MS SWIT 2014
 
1С-Битрикс - Производительность
1С-Битрикс - Производительность1С-Битрикс - Производительность
1С-Битрикс - Производительность
 
Тестирование и оптимизация 1С-Битрикс (Александр Демидов, Олег Бунин)
Тестирование и оптимизация 1С-Битрикс (Александр Демидов, Олег Бунин)Тестирование и оптимизация 1С-Битрикс (Александр Демидов, Олег Бунин)
Тестирование и оптимизация 1С-Битрикс (Александр Демидов, Олег Бунин)
 
DS Activity Monitor
DS Activity MonitorDS Activity Monitor
DS Activity Monitor
 
IT-инфраструктура. FAQ для разработчика
IT-инфраструктура. FAQ для разработчикаIT-инфраструктура. FAQ для разработчика
IT-инфраструктура. FAQ для разработчика
 
Обзор и архитектура MS Visual Studio Team System 2008
Обзор и архитектура MS Visual Studio Team System 2008Обзор и архитектура MS Visual Studio Team System 2008
Обзор и архитектура MS Visual Studio Team System 2008
 
Эволюция BackDoor.Flashback
Эволюция BackDoor.FlashbackЭволюция BackDoor.Flashback
Эволюция BackDoor.Flashback
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
 

More from Andrey Beshkov

Защита от вредоносного кода бесплатно.
Защита от вредоносного кода бесплатно. Защита от вредоносного кода бесплатно.
Защита от вредоносного кода бесплатно.
Andrey Beshkov
 
Как донести идею до миллионов?
Как донести идею до миллионов?Как донести идею до миллионов?
Как донести идею до миллионов?
Andrey Beshkov
 
За кулисами Windows Update. От уязвимости к обновлению.
За кулисами Windows Update. От уязвимости к обновлению.За кулисами Windows Update. От уязвимости к обновлению.
За кулисами Windows Update. От уязвимости к обновлению.
Andrey Beshkov
 
Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...
Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...
Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...
Andrey Beshkov
 
Технологии обеспечения безопасности Windows 7
Технологии обеспечения безопасности Windows 7Технологии обеспечения безопасности Windows 7
Технологии обеспечения безопасности Windows 7
Andrey Beshkov
 
Построение систем виртуализации высокой надежности с помощью Windows server 2...
Построение систем виртуализации высокой надежности с помощью Windows server 2...Построение систем виртуализации высокой надежности с помощью Windows server 2...
Построение систем виртуализации высокой надежности с помощью Windows server 2...
Andrey Beshkov
 
Dynamic Memory в Windows Server 2008 R2 SP1
Dynamic Memory в Windows Server 2008 R2 SP1Dynamic Memory в Windows Server 2008 R2 SP1
Dynamic Memory в Windows Server 2008 R2 SP1
Andrey Beshkov
 
Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...
Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...
Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...
Andrey Beshkov
 

More from Andrey Beshkov (20)

Биометрическая аутентификация Windows Hello и Microsoft Passport в гибридных ...
Биометрическая аутентификация Windows Hello и Microsoft Passport в гибридных ...Биометрическая аутентификация Windows Hello и Microsoft Passport в гибридных ...
Биометрическая аутентификация Windows Hello и Microsoft Passport в гибридных ...
 
Как разработчику обеспечить безопасность пользователей и данных в мобильном м...
Как разработчику обеспечить безопасность пользователей и данных в мобильном м...Как разработчику обеспечить безопасность пользователей и данных в мобильном м...
Как разработчику обеспечить безопасность пользователей и данных в мобильном м...
 
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
 
Слепая вера в безопасность или инженерная практика?
Слепая вера в безопасность или инженерная практика?Слепая вера в безопасность или инженерная практика?
Слепая вера в безопасность или инженерная практика?
 
Защита от вредоносного кода бесплатно.
Защита от вредоносного кода бесплатно. Защита от вредоносного кода бесплатно.
Защита от вредоносного кода бесплатно.
 
Безопасность гибридных облаков
Безопасность гибридных облаковБезопасность гибридных облаков
Безопасность гибридных облаков
 
Как донести идею до миллионов?
Как донести идею до миллионов?Как донести идею до миллионов?
Как донести идею до миллионов?
 
Безопасность филиальных офисов
Безопасность филиальных офисов Безопасность филиальных офисов
Безопасность филиальных офисов
 
Современные методы борьбы с ботнетами
Современные методы борьбы с ботнетамиСовременные методы борьбы с ботнетами
Современные методы борьбы с ботнетами
 
За кулисами Windows Update. От уязвимости к обновлению.
За кулисами Windows Update. От уязвимости к обновлению.За кулисами Windows Update. От уязвимости к обновлению.
За кулисами Windows Update. От уязвимости к обновлению.
 
Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003
Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003
Сравнение TCP/IP стека Windows Vista / Server 2008 и Windows XP / Server 2003
 
Защита данных с помощью System Center Data Protection Manager 2007
Защита данных с помощью System Center Data Protection Manager 2007Защита данных с помощью System Center Data Protection Manager 2007
Защита данных с помощью System Center Data Protection Manager 2007
 
Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...
Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...
Управление гетерогенной инфраструктурой с помощью System Center Operations Ma...
 
DirectAccess - безопасный и прозрачный доступ к корпоративной сети
DirectAccess - безопасный и прозрачный доступ к корпоративной сетиDirectAccess - безопасный и прозрачный доступ к корпоративной сети
DirectAccess - безопасный и прозрачный доступ к корпоративной сети
 
Технологии обеспечения безопасности Windows 7
Технологии обеспечения безопасности Windows 7Технологии обеспечения безопасности Windows 7
Технологии обеспечения безопасности Windows 7
 
Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...
Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...
Реализации политик здоровья  и защиты доступа в гетерогенной среде с помощью ...
 
Построение систем виртуализации высокой надежности с помощью Windows server 2...
Построение систем виртуализации высокой надежности с помощью Windows server 2...Построение систем виртуализации высокой надежности с помощью Windows server 2...
Построение систем виртуализации высокой надежности с помощью Windows server 2...
 
Новые возможности Windows Server 2008 R2 SP1
Новые возможности Windows Server 2008 R2 SP1Новые возможности Windows Server 2008 R2 SP1
Новые возможности Windows Server 2008 R2 SP1
 
Dynamic Memory в Windows Server 2008 R2 SP1
Dynamic Memory в Windows Server 2008 R2 SP1Dynamic Memory в Windows Server 2008 R2 SP1
Dynamic Memory в Windows Server 2008 R2 SP1
 
Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...
Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...
Защита инфраструктуры предприятия с помощью Forefront Endpoint Protection и S...
 

Recently uploaded

Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Хроники кибер-безопасника
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
Хроники кибер-безопасника
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Ирония безопасности
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Ирония безопасности
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Хроники кибер-безопасника
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
Хроники кибер-безопасника
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Ирония безопасности
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
Хроники кибер-безопасника
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
Хроники кибер-безопасника
 

Recently uploaded (9)

Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 

Разработка безопасных веб приложений

  • 1. Бешков Андрей Руководитель программы информационной безопасности Microsoft http://beshkov.ru http://twitter.com/abeshkov abeshkov@microsoft.com
  • 2.
  • 3. • Сроки запуска проекта горят • Нет ресурсов и специалистов для обеспечения безопасных практик • Мы стартап – нам нужно быстрее стать популярными и заработать много денег • Безопасность необходимое зло
  • 4.
  • 5. после выпуска дороже в 30 раз Относительная стоимость устранения ошибок 30 Выпуск 25 20 15 10 5 0 Требования/ Интеграция/ Финальное После Кодирование Архитектура Тестирование тестирование выпуска компонент Источник: National Institute of Standards and Technology
  • 6. Критические уязвимости через год после выпуска 70 60 50 40 30 20 10 0 Windows XP Windows Vista Windows 7
  • 7. 3,500 3,280 3,322 3,042 2,822 2,869 3,000 2,594 Не Microsoft 2,417 2,500 2,215 2,000 1,500 1,000 500 Microsoft 170 152 97 93 146 113 129 145 0 2H06 1H07 2H07 1H08 2H08 1H09 2H09 1H10
  • 8. 3,500 3079 3110 3,000 2807 2547 2573 2,500 2351 2161 1943 2,000 1,500 1,000 500 259 242 276 310 256 207 237 196 112 96 79 0 122 2H06 1H07 2H07 1H08 2H08 1H09 2H09 1H10 Приложения Браузеры ОС
  • 9. Sun Solaris 10 1191 Red Hat Enterprise Linux Server v.5 1580 FreeBSD 6.x 86 Microsoft Windows Server 2008 302 Apple Mac OS X 1555 Red Hat Enterprise Linux Client v.5 1709 Ubuntu Linux 8.04 (выпуск 2008 год) 1397 Windows XP (выпуск 2001 год) 498 Windows 7 170 Oracle Database 11.x 315 IBM DB2 9.x 98 MySQL 5.x 66 Microsoft SQL Server 2008 1 Mozilla Firefox 4.0 (04.2011) 14 Firefox 3.5.x (2009) 161 Opera 11 (10.2010) 10 Opera 9.x (2008) 56 Google Chrome 11 (04.2011) 30 Chrome 5.x (5.2010) 56 Microsoft Internet Explorer 9 (03.2011) 18 Explorer 8.x (3.2009) 104 Cisco ASA 7.x 71 Microsoft ISA Server 2006 7 Microsoft Forefront TMG 2 В ядре Linux 2.6 — 596 уязвимостей . Почти в 3 раза больше уязвимостей чем в Windows 7
  • 10. SDL – обязательная политика в Майкрософт с 2004 г. Обуче Требо Проекти Реали Провер Реагиро Выпуск ние вания рование зация ка вание Начальное Определение Моделирован Выбор Динамическое План Выполнение владельца от ие угроз инструментов тестирование реагирования плана обучение бизнеса и fuzzing реагирования Анализ Блокировани Заключитель- по Анализ опасных е Проверка ный анализ на инциденты основам рисков областей запрещенных моделей угроз безопасности безопасно безопасности функций и опасных Архив сти и конфиден- Статический областей выпусков циальности анализ Определение требований к качеству Обучение Технология и процесс Ответственность Постоянные улучшения процессов
  • 11.
  • 12. SDL THREAT MODELING TOOL Формализует и упрощает моделирование угроз так чтобы им мог заниматься архитектор
  • 13. Как написать безопасный код на С++, Java, Perl, PHP, ASP. NET Защищенный код для Windows Vista Игра «Spot the vuln» 10 уязвимостей веб проектов - OWASP Top Ten Курсы SANS Книга по SDL Упрощенный SDL Курсы по SDL
  • 14.
  • 15.
  • 16. ПРОТИВОДЕЙСТВИЯ АТАКЕ • Не использовать GET-запросы для внесения изменений в БД и доступа к важным данным
  • 17.
  • 18. ПРОТИВОДЕЙСТВИЯ АТАКЕ ValidateRequest ValidateInput AllowHtml
  • 19.
  • 21.
  • 22. ПРОТИВОДЕЙСТВИЯ АТАКЕ HTTP Referer Html.AntiForgeryToken() ValidateAntiForgeryToken ViewStateUserKey
  • 23. МЕТОД УСТАРЕЛ, ПРИМЕНИМ ТОЛЬКО ДЛЯ СТАРЫХ БРАУЗЕРОВ [{"Id":1,"Amt":3.14},{"Id":2,"Amt":2.72}] Конструкция <script src="http://example.com/Home/AdminBalances"></script> загружает JSON-массив как валидный JavaScript код и выполняет его. __defineSetter__
  • 24. ПРОТИВОДЕЙСТВИЯ АТАКЕ {"d" : "bankaccountnumber", "$1234.56" } __defineSetter__ для данной атаки больше
  • 26. ПРОТИВОДЕЙСТВИЯ АТАКЕ • [Bind(Include = ―Title‖, Exclude = ―ViewCount‖)] • Использовать Data Transfer Objects (DTO) - модели данных представлений, отличные от моделей данных
  • 28. WPL • http://wpl.codeplex.com/
  • 32.
  • 33. Вебсайт SDL The Simplified Implementation of the SDL Блог об SDL Microsoft Enterprise Library Microsoft Web Protection Library Best Practice Analyzer for ASP.NET Microsoft Web Application Configuration Analyzer v2.0