PDUG-секция на PHDays VII: как разрабатывать приложения, которые не взломают хакеры

в 10:27, , рубрики: PHDays, positive hack days, безопасная разработка, Блог компании Positive Technologies, информационная безопасность, Софт

PDUG-секция на PHDays VII: как разрабатывать приложения, которые не взломают хакеры - 1

PHDays VII стремительно приближается, и мы спешим сообщить, что на площадке форума снова соберется Positive Development User Group — открытое сообщество безопасной разработки. В прошлом году под эгидой PDUG прошел отдельный семинар (подробности в отчете VladimirKochetkov), а в этом мы запланировали целую секцию с мастер-классом по AppSec, тематическими докладами о разных аспектах безопасной разработки и даже бета-тестированием нового бесплатного сервиса для поиска уязвимостей веб-сайтов.

Посещение PDUG-секции традиционно бесплатное, но зал сможет вместить не всех, поэтому нужно подать заявку на участие. После ее рассмотрения мы вышлем вам приглашение с деталями встречи.

Если возникнут вопросы, обращайтесь на pdugorg@ptsecurity.com или pdug.org@gmail.com.

Полная программа секции

10:00 | Мастер-класс Application Security Outback / Трущобы Application Security

Владимир Кочетков, руководитель отдела исследований по анализу защищенности приложений, Positive Technologies
Денис Колегов, руководитель группы исследований технологий защиты, Positive Technologies

Задумывались ли вы когда-нибудь о том, как устроены современные механизмы защиты приложений? Какая теория стоит за реализацией WAF и SAST? Каковы пределы их возможностей? Насколько их можно подвинуть за счет более широкого взгляда на проблематику безопасности приложений?

На мастер-классе будут рассмотрены основные методы и алгоритмы двух основополагающих технологий защиты приложений — межсетевого экранирования уровня приложения и статического анализа кода. На примерах конкретных инструментов с открытым исходным кодом, разработанных специально для этого мастер-класса, будут рассмотрены проблемы, возникающие на пути у разработчиков средств защиты приложений, и возможные пути их решения, а также даны ответы на все упомянутые вопросы.

  • 10:00 || AppSec Outback: теоретические основы
  • 10:40 || AppSec Outback: эвристические методы защиты приложений

11:40 | Кофе-брейк

12:00 | Продолжение мастер-класса Application Security Outback

  • 12:00 || AppSec Outback: формальные методы анализа исходного кода
  • 13:00 || AppSec Outback: объединяя подходы
  • 13:25 || Демо PT BlackBox Scanner — бесплатного облачного сервиса для поиска уязвимостей в веб-приложениях

13:40 | Автоматизация построения правил для Approof

Денис Ефремов, Институт системного программирования РАН

Approof — средство проверки веб-приложений на наличие уязвимых компонентов и ошибок конфигураций. Его работа основана на правилах, хранящих сигнатуры таких компонентов. В докладе рассматриваются базовая структура правила для Approof и процесс автоматизации его создания.

14:00 | Механизмы предотвращения атак в ASP.NET Core

Михаил Щербаков, независимый разработчик и консультант

Посмотрим на новый веб-фреймворк Microsoft с точки зрения безопасности. ASP.NET Core является продолжением платформы ASP.NET — и, в отличие от старшего брата, код его полностью открыт и поддерживается сообществом. Архитектура фреймворка была переосмыслена, появились новые security features, часть существующих сильно переписана.

В докладе поговорим об этих различиях и разберем, как теперь работают встроенные механизмы защиты от XSS и CSRF, какие возможности криптографии доступны из коробки, как устроено управление сессиями. Доклад будет интересен в первую очередь разработчикам, пишущим защищенные ASP.NET-приложения, специалистам, проводящим security review .NET-проектов, и всем желающим разобраться в реализации компонентов безопасности на примере этой платформы.

15:00 | Формальная верификация кода на языке Си

Денис Ефремов, Институт системного программирования РАН

Доклад посвящен разработке корректного программного обеспечения с применением одного из видов статического анализа кода. Будут освещены вопросы применения подобных методов, их слабые стороны и ограничения, а также рассмотрены результаты, которые они могут дать. На конкретных примерах будет продемонстрировано, как выглядят разработка спецификаций для кода на языке Си и доказательство соответствия кода спецификациям.

16:00 | Уязвимое Android-приложение: N проверенных способов наступить на грабли

Николай Анисеня, специалист отдела исследований безопасности мобильных приложений, Positive Technologies

Немногие разработчики закладывают безопасность в архитектуру приложения на этапе проектирования. Часто для этого нет ни денег, ни времени. Еще меньше — понимания моделей нарушителя и моделей угроз. Защита приложения выходит на передний план, когда уязвимости начинают стоить денег. К этому времени приложение уже работает и внесение существенных изменений в код становится нелегкой задачей.

К счастью, разработчики тоже люди, и в коде разных приложений можно встретить однотипные недостатки. В докладе речь пойдет об опасных ошибках, которые чаще всего допускают разработчики Android-приложений. Затрагиваются особенности ОС Android, приводятся примеры реальных приложений и уязвимостей в них, описываются способы устранения.

16:45 | Требования по безопасности в архитектуре ПО

Кирилл Иванов, архитектор, Positive Technologies
Разработка любого софта так или иначе базируется на требованиях. Полный перечень составляют бизнес-цели приложения, различные ограничения и ожидания по качеству (их еще называют NFR). Требования к безопасности ПО относятся к последнему пункту. В ходе доклада будут рассматриваться появление этих требований, управление ими и выбор наиболее важных.

Отдельно будут освещены принципы построения архитектуры приложения, при наличии таких требований и без, и продемонстрировано, как современные (и хорошо известные) подходы к проектированию приложения помогают лучше строить его архитектуру для минимизации ландшафта угроз.

17:30 | Доклад от Solar Security (тема уточняется)

Автор: ptsecurity

Источник

Поделиться

* - обязательные к заполнению поля