Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 11 лет назад пользователемКсения Мишанина
1 Александр Сербул Руководитель направления контроля качества интеграции и внедрений Автоматическая проверка безопасности интернет-проектов
2 Текущие инструменты безопасности Панель безопасности, журнал вторжений, одноразовые пароли, защита сессий и контроль активности – позволяют выстроить инфраструктуру защиты Проактивный фильтр (WAF) и веб-антивирус – защищают снаружи от имеющихся уязвимостей в коде, допущенных интегратором Текущие инструменты страхуют разработчика, значительно снижают последствия ошибок и усложняют взлом
3 Причины появления «дырявого» кода Написание устойчивого к взлому кода требует не только глубоких теоретических знаний, но и многолетней практики. Разработчик мыслит «креативно», хакер – «деструктивно». Программисту не хватает опыта аудита и «взлома» кода. API Bitrix Framework – взломоустойчива. «Дырявый» код возникает при интеграции, в кастомных страницах, компонентах и модулях.
4 Инструмент для аудита безопасности PHP-кода
7 XSS (Cross-site scripting) SQL инъекции Выполнение произвольного php кода Инструмент идентифицирует следующие возможные уязвимости: Выполнение произвольных системных команд Инъекции в заголовок ответа (HTTP Response Splitting) File Inclusion Подробности в блоге Андрея Красичкова: Технология – статический taint-анализ.
8 Инструмент для аудита безопасности PHP-кода Данные HTTP-запроса (GET, POST, PUT, COOKIE, SERVER) Environment, argv, argc Данные HTTP-запроса (GET, POST, PUT, COOKIE, SERVER) Environment, argv, argc Файл php или подключение компонента в публичной части Ядро компонента (component.php) result_modifier.php Шаблон компонента (template.php) Произвольный подключаемый файл (include) Автоматически отслеживается иерархия подключения (переопределения) файлов и ресурсов компонента: /bitrix/components/… /bitrix/templates/… и т.п.
9 Движение опасных данных «по файлам»
10 Отчет инструмента Отчет по возможным проблемам безопасности достаточно краток и точен, предназначен для разработчика или аудитора кода Эффективно определяются наиболее распространенные ошибки безопасности. Рекомендуется включить как ключевой этап в производство веб-проекта Инструмент постоянно развивается!
11 Новое «оружие» Веб-антивирус Проактивный фильтр Инструмент для аудита безопасности PHP-кода Журнал вторжений Панель безопасности Одноразовые пароли Защита административного раздела Защита сессий Шифрование пароля без SSL
12 Спасибо за внимание! Вопросы? Александр
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.