Привет! Это отчёт с шестой встречи Backend United. В этот раз митап был посвящён вопросам безопасности и получил название «Табаско». Спикеры из Skyeng, Авито, Тинькофф и Яндекс.Облака рассказывали про то, как начинающим прокачаться в вопросах безопасности, работу с Sentry и организацию процессов по поиску и устранению уязвимостей разработчиками.
Под катом — ссылки на видеозаписи выступлений с таймкодами для удобной навигации и ссылки на презентации спикеров.
Безопасность web-приложений: как ломать и не ломаться — Денис Юрьев, Skyeng
Денис рассуждал, насколько актуальны вопросы безопасности для разработчика из большой компании и как начинающим в них прокачаться. На примере разных проектов он показал вещи, которые разработчики могут обнаружить и успеть поправить — от неправильной настройки заголовков nginx и XSS до DDoS.
00:00 — Представление спикера и темы
01:38 — Насколько актуален вопрос безопасности для разработчика: почему стало плохо веб-сервису Толику
03:35 — Варианты решений: как сделать так, чтобы Толику хорошо жилось в будущем
07:19 — Внешние уязвимости и как их ловить: транспорт и веб-сервер
12:53 — Сторонние уязвимости и что с ними делать: подключаемые пакеты в приложении и системные модули в ОС
17:13 — Внутренние уязвимости и что с ними делать: код приложения
29:47 — Итоги, советы и отправные точки
Посмотреть презентацию Дениса
Single quote injection to find them all — Александр Трифанов, Авито
Бодрый сказ об опыте Авито в обнаружения атак на базы данных в реальном времени по ошибкам в Sentry.
00:04 — Представление спикера и темы
00:29 — SQL-injections, способы их обнаружения и почему эти способы могут не сработать
01:52 — Схемы обнаружения уязвимостей в монолитной и микросервисной архитектуре Авито
03:05 — Как выглядит атака на базу данных
05:03 — Error tracking software на примере Sentry, наш велосипед и схема его работы
08:35 — Примеры ложных срабатываний и какое отношения к ним имеют объявления пользователей
10:13 — Улучшаем признаки атаки на базу данных и распознаем означает ли атака уязвимость
13:10 — Выводы
Посмотреть презентацию Александра
Security Training & Awareness в Тинькофф — Елена Клочкова, Тинькофф
Доклад о том, как в Тинькофф проводят обучение безопасности и повышают интерес сотрудников к поиску и устранению уязвимостей.
00:00 — Представление спикера и темы
00:07 — Как всё работало два года назад, что уже было в AppSec и какие были проблемы
02:36 — Что нужно было сделать для решения проблем
03:12 — Выбор и выстраивание процессов по поиску уязвимостей: онбординг новых сотрудников, security champions, internal bug-bounty и другие инициативы
14:56 — Итоги внедрения новых процессов
15:45 — Новая проблема: найденных уязвимостей больше, чем фиксов
16:07 — Эволюция процесса по устранению уязвимостей
23:10 — Результаты внедрения политики устранения уязвимостей
Посмотреть презентацию Елены
DevSecOps для облачного провайдера: опыт Яндекс.Облака — Антон Жаболенко, Яндекс.Облако
Антон поделился типовыми кейсами безопасности для облачного провайдера. Из доклада вы также узнаете, как внедрённые процессы безопасности в Яндекс.Облаке помогают бороться с различными угрозами.
00:00 — Представление спикера и темы
01:13 — Особенности безопасности облаков
07:25 — Подход к обеспечению безопасности Яндекс.Облака
09:42 — Security development lifecycle в Яндекс.Облаке
24:59 — Типовые уязвимости облачных сервисов
28:05 — Application Sandboxing
30:58 — Complience и разработка
32:31 — Production access control hardenings
Посмотреть презентацию Антона
До скорых встреч!
