Почему происходят Epic fail или безопасность в Web Валерий Хвалёв Консультант по ИТ безопасности

Induction Источники Спасибо всем разработчиком за то что даете нам средства к существованию

Identification Источники Более 7 лет опыта в ITSenior Windows System AdministratorJunior Linux System AdministratorPHP web developerIT security consultant (web)ISO Lead AuditorCISSPOWASP community member

Security – basic instinct Абрахам Харольд Маслоу Духовные Престижные Социальные Экзистенциальные Физиологические

БЕЗОПАСНОСТЬ В WEB

Statistic

Statistic

Why..it happens ? Источники Разработчики не владеют достаточными знаниями по написанию безопасного кода Главные приоритеты проекта – минимальный бюджет и сроки Руководство излишне уверенно в профессионализме разработчиков и благонадежности пользователей сайта Руководство не верно оценивает возможные риски Сейчас нам не до этого – вернемся к этому попозже Пассивный подход к вопросам безопасности Отсутствуют стандарты и метрики оценки безопасности web приложения Нет единого комплексного подхода к управлению безопасностью

Destroying myth Источники За уязвимости на сайте несет ответственность разработчик \ администратор Уязвимости не видно = уязвимости нету Поиск уязвимостей – дело хакеров, а у нас их нету Мой сайт использует SSL Мой сайт не представляет никакого интереса хакерам Мое приложение внутри корпоративной сети

Top 10 vulnerability Источники Insecure 3rd party includes Injection (SQL, JS) Cross-Site Scripting (XSS) Broken Authentication and Session Management Insecure Direct Object References Cross-Site Request Forgery (CSRF) Security Misconfiguration Insecure Cryptographic Storage Failure to Restrict URL Access Insufficient Transport Layer Protection

How to protect yourself Источники Следовать мировым практикам организации инфраструктуры Писать безопасный код в соответствии с мировыми практиками Проводить всестороннюю оценку рисков Проводить оценку защищенности и безопасности web решения

Be proactive Источники Ответственные лица Оценка рисков Обработка входящих данных Обработка исходящих данных Пользователи Обработка сессий пользователей Авторизация и аутентификация в приложении Хранение данных Административный интерфейс web приложения Системные настройки сервера Размещение сайта Системы электронной коммерции Исходный код и компоненты приложения Оценка безопасности приложения и возможности проникновения в систему Резервные копии План аварийного восстановления доступности приложения Соответствие законодательству Работа с поставщиками услуг и другими контрагентами

СПАСИБО Валерий Хвалёв