Highload++ 2017 завершён!

Профессиональная конференция разработчиков высоконагруженных систем

СКОЛКОВО, Москва 7 и 8 ноября

11-я ежегодная конференция для разработчиков highload-систем, которая соберет   2 700 участников из разных регионов России и мира. Мероприятие направлено на обмен знаниями о технологиях, позволяющих одновременно обслуживать многие тысячи и миллионы пользователей.

Программа охватывает такие аспекты веб-разработок, как архитектуры крупных проектов, базы данных и системы хранения, системное администрирование, нагрузочное тестирование, эксплуатация крупных проектов и другие направления, связанные с высоконагруженными системами.

CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем веб-приложении
Безопасность

Доклад принят в Программу конференции
Ingram Micro Cloud

Исследователь безопасности, баг-хантер, AppSec-инженер в компании Ingram Micro Cloud. Выступал с докладами на конференциях Troopers, Hack In The Box, ZeroNights, PHDays. Находил уязвимости в софте Microsoft, Red Hat, Adobe, Oracle и получил acknowledgement от компаний.

Тезисы

Уязвимости Cross-Site Request Forgery (CSRF) являются "классикой" AppSec и хорошо известны как специалистам по безопасности, так и разработчикам веб-приложений. Сегодня, как правило, при разработке веб-приложений уделяется внимание защите от CSRF-атак, и реализуются механизмы защиты. Также относительно новая технология "SameSite cookie", должна еще больше обезопасить веб-приложения от CSRF. На текущий момент CSRF находится на 8 месте в списке OWASP Top-10, в то время как они находились на 5 месте до 2013 года. Означает ли это, что CSRF-уязвимости стали менее актуальными и "уходят в прошлое"? Практика показывает, что нет. Как правило, разработчики реализуют один из следующих популярных вариантов CSRF-защиты: CSRF tokens, Double Submit cookie, Referer-/Origin-based protection, Content-Type protection. Не очевидные особенности работы или баги отдельных браузеров и самого веб-приложения на практике позволяют обходить CSRF-защиту.

В докладе пойдет речь о "трюках", которые позволяют атакующему обходить тот или иной тип CSRF-защиты, а также о том, на что следует обратить внимание разработчику или AppSec-инженеру при защите веб-приложения от CSRF.

Безопасность в браузере
,
Защита информации
,
Безопасность программного кода, SQL и прочие инъекции
,
Тестирование безопасности

Другие доклады секции
Безопасность

Rambler's Top100