OWASP Tech Day 131112: Biztonsági receptek a webes szoftverkészítéshez

Budapest, Hungary

Bummer! Sales have ended.

Unfortunately, tickets for this event are no longer on sale.

View upcoming events Create an event

Event Details

Rendezvényünket a “Hekkelésen túl is van alkalmazás-biztonság” sorozat második eseményének szánjuk. Ha az OWASP projektek szokásos hármas tagolásában gondolkodunk (attack, build, defense), akkor ez a rendezvényünk újfent a build, a gyártás képviselőit szólítja meg.

A gyártósorunk ma egyre inkább a Continuous Integration, Continuous Deployment, Continuous Delivery jegyében működik, melyek elengedhetetlen része kellene legyen a sérülékenységek vizsgálata. Ennek a megvalósíthatóságáról hallunk Bősze Tibortól (IBM). A célra alkalmazott eszköz majd nyilván OWASP Top 10 biztosak lesznek... Hogy ez mit jelent, van-e értelme ilyeneket állítani, azt megtudhatjuk Varga Perke Bálinttól (Silent Signal), aki szerint túl sokan, túl sok helyen visszaélnek ezzel a kifejezéssel. Gyorsan bele is pillantunk a Top10-es listába és SQL injektálunk (lásd A1) élőben Jeges Ernő (Search-Lab) segítségével, majd ugyanő megmutatja, hogy mit kezdhetünk a használt library-k sérülékenységeivel (lásd A9), mert nem csak mi hibázhatunk, hanem mások is. Illetve mi is, ha erre nem figyelünk... Ha már élesben üzemel a rendszer, lehet bármilyen bombabiztos, az adminisztrátor az alkalmazás úristene, tehát kénytelenek vagyunk benne megbízni. Vagy lehet ez másként is? Erre a kérdésre Golda Bence (Bit & Pixel) fog nekünk válaszolni. A Prezi is jelentkezik egy meglepetés... ööö, khmmm prezivel :-) Kiss Róbert (Prezi) egy valódi prezis bug apropóján a Same Origin Policy megkerülésére szolgáló JSONP technika veszélyeire hívja fel a figyelmet, de lesz szó a CSRF tokenek hiányáról és CSP header bevezetésének tanulságairól is. Finom lesz.