2022.07.21 Андрей Орлов — Поиск и устранение security-уязвимостей в веб-приложениях на примерах

Андрей Орлов Software Engineer @ Stiltsoft Доклад о накопленном опыте поиска и устранения security-уязвимостей в веб-приложениях на примере продуктов компании Stiltsoft Разберём XSS, проблемы авторизации/аутентификации, проблемы кросстенантного доступа к данным - как искать, как исправлять, как избежать проблем в будущем. Покажу security-уязвимости, которые мы нашли в своих продуктах. Опишу командные практики и подходы (STRIDE, Bug Bounty, RLS и т.п.), которые позволяют эффективнее решать такие проблемы, а также расскажу про наш опыт их применения. 00:00 Знакомство / Stiltsoft 03:36 Что такое уязвимость? 05:23 Пример. XSS в продукте 09:03 Как исправить XSS? 14:00 CSP 16:08 Аутентификация и авторизация 18:19 Пример. Ошибка в продукте 22:25 Как исправить утечку данных? 26:16 Bugcrowd 28:32 Как решить проблему с кросстенантностью? 30:40 RLS в Postgres и Java 36:52 Когда решать эти проблемы? 41:45 STRIDE 45:22 Ссылки 46:51 Вопрос 1 48:06 Вопрос 2 48:57 Вопрос 3 49:25 Вопрос 4 50:15 Вопрос 5 51:44 Вопрос 6 53:46 Вопрос 7 56:13 Вопрос 8 57:01 Вопрос 9 Подписаться на канал:    / @devclubeu   Наш сайт: https://devclub.eu
Наш блог: https://blog.devclub.eu
Facebook-группа:   / devclub.eu