Онлайн
Alvaros
.
- Регистрация
- 14.05.16
- Сообщения
- 21.452
- Реакции
- 101
- Репутация
- 204
Привет! Это отчёт с шестой встречи Backend United. В этот раз митап был посвящён вопросам безопасности и получил название «Табаско». Спикеры из Skyeng, Авито, Тинькофф и Яндекс.Облака рассказывали про то, как начинающим прокачаться в вопросах безопасности, работу с Sentry и организацию процессов по поиску и устранению уязвимостей разработчиками.
Под катом — ссылки на видеозаписи выступлений с таймкодами для удобной навигации и ссылки на презентации спикеров.
Безопасность web-приложений: как ломать и не ломаться — Денис Юрьев, Skyeng
Денис рассуждал, насколько актуальны вопросы безопасности для разработчика из большой компании и как начинающим в них прокачаться. На примере разных проектов он показал вещи, которые разработчики могут обнаружить и успеть поправить — от неправильной настройки заголовков nginx и XSS до DDoS.
Single quote injection to find them all — Александр Трифанов, Авито
Бодрый сказ об опыте Авито в обнаружения атак на базы данных в реальном времени по ошибкам в Sentry.
Security Training & Awareness в Тинькофф — Елена Клочкова, Тинькофф
Доклад о том, как в Тинькофф проводят обучение безопасности и повышают интерес сотрудников к поиску и устранению уязвимостей.
DevSecOps для облачного провайдера: опыт Яндекс.Облака — Антон Жаболенко, Яндекс.Облако
Антон поделился типовыми кейсами безопасности для облачного провайдера. Из доклада вы также узнаете, как внедрённые процессы безопасности в Яндекс.Облаке помогают бороться с различными угрозами.
До скорых встреч!
Под катом — ссылки на видеозаписи выступлений с таймкодами для удобной навигации и ссылки на презентации спикеров.
Безопасность web-приложений: как ломать и не ломаться — Денис Юрьев, Skyeng
Денис рассуждал, насколько актуальны вопросы безопасности для разработчика из большой компании и как начинающим в них прокачаться. На примере разных проектов он показал вещи, которые разработчики могут обнаружить и успеть поправить — от неправильной настройки заголовков nginx и XSS до DDoS.
You must be registered for see links
— Представление спикера и темы
You must be registered for see links
— Насколько актуален вопрос безопасности для разработчика: почему стало плохо веб-сервису Толику
You must be registered for see links
— Варианты решений: как сделать так, чтобы Толику хорошо жилось в будущем
You must be registered for see links
— Внешние уязвимости и как их ловить: транспорт и веб-сервер
You must be registered for see links
— Сторонние уязвимости и что с ними делать: подключаемые пакеты в приложении и системные модули в ОС
You must be registered for see links
— Внутренние уязвимости и что с ними делать: код приложения
You must be registered for see links
— Итоги, советы и отправные точки
You must be registered for see links
Single quote injection to find them all — Александр Трифанов, Авито
Бодрый сказ об опыте Авито в обнаружения атак на базы данных в реальном времени по ошибкам в Sentry.
You must be registered for see links
— Представление спикера и темы
You must be registered for see links
— SQL-injections, способы их обнаружения и почему эти способы могут не сработать
You must be registered for see links
— Схемы обнаружения уязвимостей в монолитной и микросервисной архитектуре Авито
You must be registered for see links
— Как выглядит атака на базу данных
You must be registered for see links
— Error tracking software на примере Sentry, наш велосипед и схема его работы
You must be registered for see links
— Примеры ложных срабатываний и какое отношения к ним имеют объявления пользователей
You must be registered for see links
— Улучшаем признаки атаки на базу данных и распознаем означает ли атака уязвимость
You must be registered for see links
— Выводы
You must be registered for see links
Security Training & Awareness в Тинькофф — Елена Клочкова, Тинькофф
Доклад о том, как в Тинькофф проводят обучение безопасности и повышают интерес сотрудников к поиску и устранению уязвимостей.
You must be registered for see links
— Представление спикера и темы
You must be registered for see links
— Как всё работало два года назад, что уже было в AppSec и какие были проблемы
You must be registered for see links
— Что нужно было сделать для решения проблем
You must be registered for see links
— Выбор и выстраивание процессов по поиску уязвимостей: онбординг новых сотрудников, security champions, internal bug-bounty и другие инициативы
You must be registered for see links
— Итоги внедрения новых процессов
You must be registered for see links
— Новая проблема: найденных уязвимостей больше, чем фиксов
You must be registered for see links
— Эволюция процесса по устранению уязвимостей
You must be registered for see links
— Результаты внедрения политики устранения уязвимостей
You must be registered for see links
DevSecOps для облачного провайдера: опыт Яндекс.Облака — Антон Жаболенко, Яндекс.Облако
Антон поделился типовыми кейсами безопасности для облачного провайдера. Из доклада вы также узнаете, как внедрённые процессы безопасности в Яндекс.Облаке помогают бороться с различными угрозами.
You must be registered for see links
— Представление спикера и темы
You must be registered for see links
— Особенности безопасности облаков
You must be registered for see links
— Подход к обеспечению безопасности Яндекс.Облака
You must be registered for see links
— Security development lifecycle в Яндекс.Облаке
You must be registered for see links
— Типовые уязвимости облачных сервисов
You must be registered for see links
— Application Sandboxing
You must be registered for see links
— Complience и разработка
You must be registered for see links
— Production access control hardenings
You must be registered for see links
До скорых встреч!