Основная мысль доклада Александра легко умещается в коротком тезисе: «фильтруй вход, экранируй выход». Под «входом» понимаются различные формы, файлы, заголовки HTTP, под «выходом» — браузер, консоль, базы данных.
Опираясь на этот тезис, Александр подробно рассказал о популярных угрозах в Сети, а так же предложил варианты решения проблем, связанных с ними.
К типичным угрозам спикер отнес: XSS, CSRF и DDoS атаки, небезопасный конструктор include, механизм обмана пользователей Clickjacking.
Довольно большую часть своего выступления Александр посвятил проблеме взлома паролей и последствиям этого взлома. Важно понимать, подчеркнул Александр, что, если произошла утечка базы — главное в этом случае а) устранить источник утечки, б) инвалидировать hash и в) попросить пользователей сменить ВСЕ пароли, чтобы лишить злоумышленников возможности использовать полученную информацию.
Немаловажным в процессе защиты проекта от взлома является человеческий фактор. Довольно часто приходится сталкиваться с тем, что и админы ошибаются. Типичные ошибки админов связаны с саппортом программ без предварительной проверки, раздачей прав на продакшн всем разработчикам компании, торчащей наружу memcached. Так же нужно помнить, что люди могут терять флешки, ноутбуки, телефоны — носители, на которых обычно хранится самая важная и ценная информация.
В завершении своего выступления Александр дал ссылки на те ресурсы, где можно подробнее почитать о WEB-безопасности, вот они:
1. OWASP testing guide
2. статьи и книги Мартина Фаулера про безопасность
3. secure.php.net/manual/ru/security.php
4. Q
Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Безопасность персональных данных обеспечивается и регулируется федеральным законом N 152-ФЗ «О персональных данных», ведь информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника — в средство мщения, в руках инсайдера — товар для продажи конкуренту. Именно поэтому персональные данные нуждаются в самой серьезной защите.
Хотите создать в Вашей организации максимально эффективную систему безопасности данных и защитить информационные ресурсы? Смотрите бесплатный семинар учебного центра «Специалист» при МГТУ имени Баумана.
Ведет мастер-класс сертифицированный специалист по системам ИТ-безопасности и сетевой инфраструктуре Александр Николаевич Суслов.