“Jak łatwo siać spustoszenie” - opowiastka o Cross Site Scripting i Phishingu

Tomasz Szyborski (07.Dec.2017 at 18:50, 35 min)
Talk at CodeteCon #KRK3 (Polish)

Rating: 0 of 5

Testy bezpieczeństwa aplikacji są zwykle pomijane - z różnych przyczyn: brak czasu, budżetu lub umiejętności. Natomiast znalezione luki są zamiatane pod dywan - z jednej przyczyny: “Ale przecież nikt tego nie zrobi...”.

W tej prezentacji pokażę nie tylko dlaczego testy bezpieczeństwa nie powinny być traktowane jako zbędne, ale przede wszystkim dlaczego _ktoś_ to jednak zrobi (i dlaczego powinieneś to być Ty, i dlaczego to robię ja ;) )
Ataki frontendowe to między innymi code injection, cross-site scripting, cross-site request forgery, dangling markup czy clickjacking, które dodatkowo przy użyciu technik phishingowych potrafią wywołać niemały bałagan.

Z mojego doświadczenia wynika, że nie ma w 100% bezpiecznych aplikacji i każda testowana przeze mnie miała swoje dziury - od clickjackingu, przez code injection aż do całkowitego dostępu do bazy danych z zewnątrz.
Wyobraź sobie co mogłoby się stać z Twoim projektem gdy nadgorliwy gość z odrobiną wiedzy chciałby położyć na nim swoje łapska. A co gdyby to był wysoko opłacany kontraktor? Albo nieuczciwa konkurencja? Lub nie jeden, a grupa, której działania wywodzą się z pobudek politycznych czy ideologicznych chcących pogrążyć nie tylko Twój projekt, ale i wszystkich którzy z niego korzystają?

Ale pewnie, “Przecież nikt tego nie zrobi...”. Chyba, że...

Who are you?

Claim talk

Talk claims have been moved to the new Joind.in site.

Please login to the new site to claim your talk

Want to comment on this talk? Log in or create a new account or comment anonymously

Write a comment

 
Please note: you are not logged in and will be posting anonymously!
= eight minus four
 
No comments yet.
© Joind.in 2017