PDUG на PHDays VII
Детали
https://secure.meetupstatic.com/photos/event/4/b/9/600_460861209.jpeg
24 мая в Центре международной торговли пройдет восьмичасовой PDUG-трек для разработчиков — отдельная секция выступлений, посвященных разным аспектам безопасной разработки, в рамках международного форума PHDays VII (https://www.phdays.ru/).
Помимо мастер-класса, уже традиционного для PDUG-встреч на PHDays, участников ждет ряд тематических докладов, а также мини-демонстрация нового бесплатного сервиса для поиска уязвимостей в веб-приложениях.
Внимание! Мероприятие бесплатное, но количество мест ограничено. Для участия обязательно подайте заявку: https://docs.google.com/forms/d/e/1FAIpQLSfvvYaNCnCogpRwsVMTR0Zq_TOP4xYTQmaw4hYDBEXGsBVvuQ/viewform
По всем вопросам обращайтесь на pdugorg@ptsecurity.com или pdug.org@gmail.com .
Полная программа трека:
10:00 | Мастер-класс Application Security Outback / Трущобы Application SecurityВладимир Кочетков, руководитель отдела исследований по анализу защищенности приложений, Positive TechnologiesДенис Колегов, руководитель группы исследований технологий защиты, Positive Technologies
Задумывались ли вы когда-нибудь о том, как устроены современные механизмы защиты приложений? Какая теория стоит за реализацией WAF и SAST? Каковы пределы их возможностей? Насколько их можно подвинуть за счет более широкого взгляда на проблематику безопасности приложений?
В ходе мастер-класса будут рассмотрены основные методы и алгоритмы двух основополагающих технологий защиты приложений: межсетевого экранирования уровня приложения и статического анализа кода. На примерах конкретных инструментов с открытым исходным кодом, разработанных специально для этого мастер-класса, будут рассмотрены проблемы, возникающие на пути у разработчиков средств защиты приложений и возможные пути их решения, а также даны ответы на все упомянутые вопросы.
На мастер-классе разработчики и security-ресерчеры смогут убедиться в том, что технологии, стоящие за проблемой защиты приложений, не так уж сложны и, что любой желающий может в разумные сроки разработать свой собственный инструмент, помогающий автоматизировать отдельные, связанные с ней задачи.
— 10:00 ||AppSec Outback: теоретические основы
— 10:40 || AppSec Outback: эвристические методы защиты приложений
11:40 | Кофе-брейк
12:00 | Продолжение мастер-класса Application Security Outback
— 12:00 ||AppSec Outback: формальные методы анализа исходного кода
— 13:00 || AppSec Outback: объединяя подходы
— 13:25 || Демо PT BlackBox Scanner — бесплатного облачного сервиса для поиска уязвимостей в веб-приложениях
13:40 | «Автоматизация построения правил для Approof»Денис Ефремов, Институт системного программирования РАН
Approof — средство проверки веб-приложений на наличие уязвимых компонентов и ошибок конфигураций. В своей работе анализатор основывается на правилах, хранящих сигнатуры искомых компонентов. В докладе рассматривается базовая структура правила для Approof и процесс автоматизации его создания.
14:00 | «Механизмы предотвращения атак в ASP.NET Core»Михаил Щербаков, независимый разработчик и консультант
Посмотрим на новый веб-фреймворк от Microsoft с точки зрения безопасности. ASP.NET Core является продолжением развития платформы ASP.NET и, в отличие от старшего брата, код его полностью открыт и поддерживается сообществом. Архитектура фреймворка была переосмыслена, появились новые security features, часть существующих сильно переписана. В докладе поговорим об этих различиях и разберем, как теперь работают встроенные механизмы защиты от XSS и CSRF, какие возможности криптографии доступны из коробки, как устроено управление сессиями и др. Доклад будет интересен в первую очередь разработчикам, пишущим защищенные ASP.NET приложения, специалистам, проводящим security review .NET-проектов и всем желающим разобраться в реализации компонентов безопасности на примере этой платформы.
15:00 | «Формальная верификация кода на языке Си»Денис Ефремов, Институт системного программирования РАН
Доклад посвящен теме разработки корректного программного обеспечения с применением одного из видов статического анализа кода. Будут освещены вопросы применения подобных методов, их слабых сторон и ограничений, а также будут рассмотрены результаты, которые они могут дать. На конкретных примерах показывается, как выглядит разработка спецификаций для кода на языке Си и доказательство соответствия кода спецификациям.
16:00 | «Уязвимое Android-приложение: N проверенных способов наступить на грабли»Николай Анисеня, специалист отдела исследований безопасности мобильных приложений, Positive Technologies
Немногие разработчики закладывают безопасность в архитектуру приложения на этапе проектирования. Часто для этого нет ни денег, ни времени. Еще меньше — понимания моделей нарушителя и моделей угроз. Защита приложения выходит на передний план, когда уязвимости начинают стоить денег. К этому времени приложение уже работает и внесение существенных изменений в код становится нелегкой задачей.
К счастью, разработчики тоже люди, и в коде разных приложений можно встретить однотипные недостатки. В докладе речь пойдет об опасных ошибках, которые чаще всего допускают разработчики Android-приложений. Затрагиваются особенности ОС Android, приводятся примеры реальных приложений и уязвимостей в них, описываются способы устранения.
16:45 | «Требования по безопасности в архитектуре ПО»Кирилл Иванов, архитектор, Positive Technologies
Разработка любого софта так или иначе базируется на требованиях. Полный перечень составляют бизнес-цели приложения, различные ограничения и ожидания по качеству (их еще называют NFR). Требования к безопасности ПО относятся к последнему пункту. В ходе доклада будут рассматриваться появление этих требований, управление ими и выбор наиболее важных.
Отдельно будут освещены принципы построения архитектуры приложения, при наличии таких требований и без, и продемонстрировано, как современные (и хорошо известные) подходы к проектированию приложения помогают лучше строить архитектуру приложения для минимизации ландшафта угроз ландшафт угроз.
17:30 | Доклад от Solar Security (тема уточняется)