Александр Сербул Руководитель направления контроля качества интеграции и внедрений Автоматическая проверка безопасности интернет-проектов.

Презентация:



Advertisements
Похожие презентации
Безопасность интернет-проекта Основные угрозы Инструменты безопасности в платформе.
Advertisements

О безопасности сайта думают в последнюю очередь! индивидуальные разработчики думают о безопасности сайтов в самую последнюю очередь клиенты не готовы платить.
Тестирование безопасности или Security and Access Control Testing.
Подводные камни разработки – чего делать нельзя Александр Сербул Руководитель направления контроля качества интеграции и
Безопасность интернет-проекта Основные угрозы Инструменты безопасности в платформе.
Тестирование и нагрузочные испытания - как, чем и зачем Александр Сербул Руководитель направления контроля качества интеграции и
Безопасность интернет-проектов: основные проблемы разработки и пути решений ФИО должность компания.
D7 – новая платформа разработки сайтов и порталов Тушинский Юрий Технический директор Битрикс.
«1С-Битрикс: Управление сайтом ASP. NET 4.5»: новые возможности для создания безопасных и функциональных веб-проектов.
Рекомендации по работе со службой технической поддержки Шаромов Денис руководитель отдела техподдержки.
1С-Битрикс: Маркетплейс новые возможности Денис Донченко менеджер отдела развития бизнеса.
«1С-Битрикс» Сергей Рыжиков, генеральный директор Безопасность Интернет- проектов: основные проблемы разработки и пути решений.
«Проактивная защита» - новый подход к веб-безопасности в «1С-Битрикс: Управление сайтом 8.0» Сергей Рыжиков генеральный директор компании «1С-Битрикс»
Сергей Рыжиков генеральный директор компании «1С-Битрикс» Актуальные вопросы информационной безопасности веб-приложений.
Безопасность веб-ресурсов. Современные методы защиты Петров Роман директор ООО «Ай Ти Констракт» Партнер 1С-Битрикс.
1 С-Битрикс: Внутренний портал учебного заведения Артем Рябинков ведущий аналитик компании «1 С-Битрикс»
Microsoft TechDays Михаил Черномордиков Developer Evangelist, Microsoft
Open InfoSec Days Томск, 2011 Глава 1. Атаки на веб-приложения и методы защиты.
Контроль качества внедрения - ключевое изменение версии 10.5 Александр Сербул Руководитель направления контроля качества интеграции и внедрений ООО «1С-Битрикс»
Обнаружение уязвимостей в web- приложениях, написанных на Python, средствами динамического анализа исходных кодов Заливин Д.А. Козлов Д.Д. Петухов А.А.
Транксрипт:

Александр Сербул Руководитель направления контроля качества интеграции и внедрений Автоматическая проверка безопасности интернет-проектов

Текущие инструменты безопасности Панель безопасности, журнал вторжений, одноразовые пароли, защита сессий и контроль активности – позволяют выстроить инфраструктуру защиты Проактивный фильтр (WAF) и веб-антивирус – защищают снаружи от имеющихся уязвимостей в коде, допущенных интегратором Текущие инструменты страхуют разработчика, значительно снижают последствия ошибок и усложняют взлом

Причины появления «дырявого» кода Написание устойчивого к взлому кода требует не только глубоких теоретических знаний, но и многолетней практики. Разработчик мыслит «креативно», хакер – «деструктивно». Программисту не хватает опыта аудита и «взлома» кода. API Bitrix Framework – взломоустойчива. «Дырявый» код возникает при интеграции, в кастомных страницах, компонентах и модулях.

Инструмент для аудита безопасности PHP-кода

XSS (Cross-site scripting) SQL инъекции Выполнение произвольного php кода Инструмент идентифицирует следующие возможные уязвимости: Выполнение произвольных системных команд Инъекции в заголовок ответа (HTTP Response Splitting) File Inclusion Подробности в блоге Андрея Красичкова: Технология – статический taint-анализ.

Инструмент для аудита безопасности PHP-кода Данные HTTP-запроса (GET, POST, PUT, COOKIE, SERVER) Environment, argv, argc Данные HTTP-запроса (GET, POST, PUT, COOKIE, SERVER) Environment, argv, argc Файл php или подключение компонента в публичной части Ядро компонента (component.php) result_modifier.php Шаблон компонента (template.php) Произвольный подключаемый файл (include) Автоматически отслеживается иерархия подключения (переопределения) файлов и ресурсов компонента: /bitrix/components/… /bitrix/templates/… и т.п.

Движение опасных данных «по файлам»

Отчет инструмента Отчет по возможным проблемам безопасности достаточно краток и точен, предназначен для разработчика или аудитора кода Эффективно определяются наиболее распространенные ошибки безопасности. Рекомендуется включить как ключевой этап в производство веб-проекта Инструмент постоянно развивается!

Новое «оружие» Веб-антивирус Проактивный фильтр Инструмент для аудита безопасности PHP-кода Журнал вторжений Панель безопасности Одноразовые пароли Защита административного раздела Защита сессий Шифрование пароля без SSL

Спасибо за внимание! Вопросы? Александр