Компания Positive Technologies в рамках форума Positive Hack Days VI (17—18 мая) проведет двухдневный семинар для разработчиков по созданию защищенных приложений Positive Development User Group. Цель мероприятия — повысить устойчивость бизнеса к растущим угрозам со стороны злоумышленников.
На семинаре будут рассмотрены все аспекты конструирования защищенных приложений, различные уязвимости веб-сервисов, эксперты Positive Technologies представят опыт анализа защищенности систем, используемых в различных отраслях, и результаты исследовательских работ, лежащих в основе анализатора защищенности исходного кода приложений PT Application Inspector.
Ежегодно специалисты Positive Technologies изучают сотни приложений — официальные сайты, электронные торговые площадки, системы документооборота, учета, дистанционного банковского обслуживания. Согласно исследованиям, проведенным экспертами Positive Technologies в 2015 году, 70% приложений содержат уязвимости высокой степени риска и 100% — средней.
Семинар построен таким образом, что каждая тема будет рассмотрена и с позиции атакующего, и с позиции защищающего. Эксперты рассмотрят примеры атак и возможные пути их развития, продемонстрируют практические приемы разработки защищенного кода и типовые ошибки.
Семинар пройдет в закрытом формате: чтобы принять участие, нужно заполнить форму и отправить заявку.
Авторы семинара
Владимир Кочетков — руководитель группы разработки системы анализа исходных кодов Application Inspector компании Positive Technologies. Специализируется на исследованиях в области защищенности приложений. Является разработчиком и администратором проекта rsdn.ru.
Тимур Юнусов — руководитель отдела безопасности банковских систем в Positive Technologies. Занимается исследованиями в области ИБ. Выступал на Black Hat EU, ZeroNights; активно участвует в развитии форума Positive Hack Days.
Программа семинара:
День первый (17 мая)
15:00 Что такое Positive Development User Group
Философия AppSec
Базовые понятия
Причинно-следственные связи
Классификация уязвимостей, угроз и атак
Практика AppSec
Предметная область Application Security
Управление потоками данных
Инъекции
Раскрытие информации
Предварительная обработка данных
16:30 Кофе-брейк
16:45 Управление потоками операций
Race Condition и атаки на атомарность
Недостаточная проверка процесса
Контроль целостности потока операций
Подтверждение аутентичности источников
Управление доступом
Идентификация, авторизация, аутентификация, двухфакторные методы
Проектирование и реализация контроля доступа
День второй (18 мая)
15:00 Общие примитивы защищенной реализации предметных областей
Криптография
Типовые ошибки проектирования и использования средств криптографии
Самодельная криптография
Побочные каналы
Высокоуровневые криптобиблиотеки
Случайные числа
Seed racing
PRNG
Хеширование и подписи
Атака расширения хеша
Хеширование паролей
Шифрование с закрытым ключом
Padding Oracle
Шифрование с открытым ключом
16:30 Кофе-брейк
16:45 Инфраструктура
Защита транспортного уровня
Ошибки использования TLS
Практики этапа развертывания
Принцип трех D
Для чего нам все это знать и что такое PT Application Inspector
Заключение
На семинаре будут рассмотрены все аспекты конструирования защищенных приложений, различные уязвимости веб-сервисов, эксперты Positive Technologies представят опыт анализа защищенности систем, используемых в различных отраслях, и результаты исследовательских работ, лежащих в основе анализатора защищенности исходного кода приложений PT Application Inspector.
Ежегодно специалисты Positive Technologies изучают сотни приложений — официальные сайты, электронные торговые площадки, системы документооборота, учета, дистанционного банковского обслуживания. Согласно исследованиям, проведенным экспертами Positive Technologies в 2015 году, 70% приложений содержат уязвимости высокой степени риска и 100% — средней.
Семинар построен таким образом, что каждая тема будет рассмотрена и с позиции атакующего, и с позиции защищающего. Эксперты рассмотрят примеры атак и возможные пути их развития, продемонстрируют практические приемы разработки защищенного кода и типовые ошибки.
Семинар пройдет в закрытом формате: чтобы принять участие, нужно заполнить форму и отправить заявку.
Авторы семинара
Владимир Кочетков — руководитель группы разработки системы анализа исходных кодов Application Inspector компании Positive Technologies. Специализируется на исследованиях в области защищенности приложений. Является разработчиком и администратором проекта rsdn.ru.
Тимур Юнусов — руководитель отдела безопасности банковских систем в Positive Technologies. Занимается исследованиями в области ИБ. Выступал на Black Hat EU, ZeroNights; активно участвует в развитии форума Positive Hack Days.
Программа семинара:
День первый (17 мая)
15:00 Что такое Positive Development User Group
Философия AppSec
Базовые понятия
Причинно-следственные связи
Классификация уязвимостей, угроз и атак
Практика AppSec
Предметная область Application Security
Управление потоками данных
Инъекции
Раскрытие информации
Предварительная обработка данных
16:30 Кофе-брейк
16:45 Управление потоками операций
Race Condition и атаки на атомарность
Недостаточная проверка процесса
Контроль целостности потока операций
Подтверждение аутентичности источников
Управление доступом
Идентификация, авторизация, аутентификация, двухфакторные методы
Проектирование и реализация контроля доступа
День второй (18 мая)
15:00 Общие примитивы защищенной реализации предметных областей
Криптография
Типовые ошибки проектирования и использования средств криптографии
Самодельная криптография
Побочные каналы
Высокоуровневые криптобиблиотеки
Случайные числа
Seed racing
PRNG
Хеширование и подписи
Атака расширения хеша
Хеширование паролей
Шифрование с закрытым ключом
Padding Oracle
Шифрование с открытым ключом
16:30 Кофе-брейк
16:45 Инфраструктура
Защита транспортного уровня
Ошибки использования TLS
Практики этапа развертывания
Принцип трех D
Для чего нам все это знать и что такое PT Application Inspector
Заключение
