SlideShare una empresa de Scribd logo
1 de 26
Descargar para leer sin conexión
Уязвимости в веб-приложениях как критичный фактор развития киберпреступности Денис Безкоровайный,  CISA, CISSP Технический консультант Classification  07/15/10
Agenda Classification  07/15/10 ,[object Object],[object Object],[object Object],[object Object],[object Object]
История  Samy  и  MySpace  ,[object Object],[object Object],[object Object],[object Object],[object Object]
История  Samy  и  MySpace  ,[object Object],[object Object],[object Object]
It's All about the Benjamins
Как заработать на уязвимостях? PROFIT! ??????? Получить контроль над жертвами Провести массовое заражение Найти уязвимости веб-приложений  (XSS, Injection, etc) Разместить вредоносный контент
Как от веб уязвимостей страдают пользователи? ,[object Object],[object Object],[object Object]
Методы монетизации ботнетов ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],дальнейшее распространение вредоносного ПО продажа или вывод средств
Пример монетизации: Pay per install Image © Trend Micro
Пример монетизации: Search poisoning Image © Trend Micro
ЗАЩИТА  WEB- ПРИЛОЖЕНИЙ Classification  07/15/10
Защита веб-приложений ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Web Application Firewall  Evaluation Criteria ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Trend Micro Deep Security –  защита  web- приложений ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Trend Micro Deep Security  Защита  web- приложений в действии © Third Brigade, Inc. ,[object Object],[object Object],без защиты защита  Deep Security
ЗАЩИТА ПОЛЬЗОВАТЕЛЕЙ
Как защитить пользователей ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Черные списки в браузерах? ,[object Object],[object Object]
NoScript ? ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Как защитить пользователей? ,[object Object],[object Object],[object Object],[object Object],[object Object]
Как построить динамичную и эффективную систему? ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Релизация подхода в  Trend Micro Smart Protection Network  Корреляция  Анализ угроз TrendLabs IP Репутация  почты URL Веб  репутация Файлы Файловая репутация Сбор информации  об угрозах ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Что дает реверс-инжиниринг? ,[object Object],[object Object],[object Object],[object Object],[object Object]
Как происходит защита клиентов Клиентская машина Приложение / Браузер Сервис прокси База репутации Веб сайт Желаемое соединение Реальное соединение Получение репутации  URL Keep alive Если разрешено политикой, установка сессии
Принудительная защита ,[object Object],[object Object]
Заключение ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Más contenido relacionado

La actualidad más candente

Новые угрозы безопасности
Новые угрозы безопасностиНовые угрозы безопасности
Новые угрозы безопасностиDenis Batrankov, CISSP
 
Мобильные устройства и безопасность
Мобильные устройства и безопасностьМобильные устройства и безопасность
Мобильные устройства и безопасностьDenis Batrankov, CISSP
 
Адаптивное сканирование для Cisco IronPort S-Series
Адаптивное сканирование для Cisco IronPort S-SeriesАдаптивное сканирование для Cisco IronPort S-Series
Адаптивное сканирование для Cisco IronPort S-SeriesCisco Russia
 
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Advanced monitoring
 
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Advanced monitoring
 
NeoQUEST-2016: Сложно ли стать "хамелеоном" в социальных сетях?
NeoQUEST-2016: Сложно ли стать "хамелеоном" в социальных сетях?NeoQUEST-2016: Сложно ли стать "хамелеоном" в социальных сетях?
NeoQUEST-2016: Сложно ли стать "хамелеоном" в социальных сетях?Neo_QUEST
 
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AVЗащита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AVKonstantin Matyukhin
 
УЦСБ. Ольга Зиненко. "Исследования ИБ web-ресурсов банков г. Екатеринбурга "
УЦСБ. Ольга Зиненко. "Исследования ИБ web-ресурсов банков г. Екатеринбурга "УЦСБ. Ольга Зиненко. "Исследования ИБ web-ресурсов банков г. Екатеринбурга "
УЦСБ. Ольга Зиненко. "Исследования ИБ web-ресурсов банков г. Екатеринбурга "Expolink
 
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"Expolink
 
Решения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почтыРешения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почтыCisco Russia
 
Программа "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыПрограмма "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыAlexey Kachalin
 
Безопасность сайта - гарантия безопасности вашего бинеса
Безопасность сайта - гарантия безопасности вашего бинесаБезопасность сайта - гарантия безопасности вашего бинеса
Безопасность сайта - гарантия безопасности вашего бинесаAnastasiia Ovcharenko
 
Cisco Ransomware Defense. Краткий обзор
Cisco Ransomware Defense. Краткий обзорCisco Ransomware Defense. Краткий обзор
Cisco Ransomware Defense. Краткий обзорCisco Russia
 
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...Expolink
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Denis Bezkorovayny
 
АНТИСПАМ. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
АНТИСПАМ. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬАНТИСПАМ. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
АНТИСПАМ. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬSoftline
 
SkyparkCDN and IP PIER DDoS protection cloud
SkyparkCDN and IP PIER DDoS protection cloudSkyparkCDN and IP PIER DDoS protection cloud
SkyparkCDN and IP PIER DDoS protection cloudAlexey Stankus
 
Знай своего пользователя. Использование технологии RBA
Знай своего пользователя. Использование технологии RBAЗнай своего пользователя. Использование технологии RBA
Знай своего пользователя. Использование технологии RBADenis Gorchakov
 
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Expolink
 

La actualidad más candente (20)

Новые угрозы безопасности
Новые угрозы безопасностиНовые угрозы безопасности
Новые угрозы безопасности
 
Мобильные устройства и безопасность
Мобильные устройства и безопасностьМобильные устройства и безопасность
Мобильные устройства и безопасность
 
Адаптивное сканирование для Cisco IronPort S-Series
Адаптивное сканирование для Cisco IronPort S-SeriesАдаптивное сканирование для Cisco IronPort S-Series
Адаптивное сканирование для Cisco IronPort S-Series
 
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
 
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
 
NeoQUEST-2016: Сложно ли стать "хамелеоном" в социальных сетях?
NeoQUEST-2016: Сложно ли стать "хамелеоном" в социальных сетях?NeoQUEST-2016: Сложно ли стать "хамелеоном" в социальных сетях?
NeoQUEST-2016: Сложно ли стать "хамелеоном" в социальных сетях?
 
ИБ
ИБИБ
ИБ
 
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AVЗащита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
 
УЦСБ. Ольга Зиненко. "Исследования ИБ web-ресурсов банков г. Екатеринбурга "
УЦСБ. Ольга Зиненко. "Исследования ИБ web-ресурсов банков г. Екатеринбурга "УЦСБ. Ольга Зиненко. "Исследования ИБ web-ресурсов банков г. Екатеринбурга "
УЦСБ. Ольга Зиненко. "Исследования ИБ web-ресурсов банков г. Екатеринбурга "
 
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"
Anti-Malware. Илья Шабанов. "Как правильно выбрать антивирус?"
 
Решения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почтыРешения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почты
 
Программа "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыПрограмма "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспекты
 
Безопасность сайта - гарантия безопасности вашего бинеса
Безопасность сайта - гарантия безопасности вашего бинесаБезопасность сайта - гарантия безопасности вашего бинеса
Безопасность сайта - гарантия безопасности вашего бинеса
 
Cisco Ransomware Defense. Краткий обзор
Cisco Ransomware Defense. Краткий обзорCisco Ransomware Defense. Краткий обзор
Cisco Ransomware Defense. Краткий обзор
 
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013
 
АНТИСПАМ. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
АНТИСПАМ. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬАНТИСПАМ. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
АНТИСПАМ. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
 
SkyparkCDN and IP PIER DDoS protection cloud
SkyparkCDN and IP PIER DDoS protection cloudSkyparkCDN and IP PIER DDoS protection cloud
SkyparkCDN and IP PIER DDoS protection cloud
 
Знай своего пользователя. Использование технологии RBA
Знай своего пользователя. Использование технологии RBAЗнай своего пользователя. Использование технологии RBA
Знай своего пользователя. Использование технологии RBA
 
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
 

Similar a Risspa app sec trend micro

3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...Cisco Russia
 
Cisco Social Network Security
Cisco Social Network SecurityCisco Social Network Security
Cisco Social Network SecurityCisco Russia
 
Dr web
Dr webDr web
Dr webBDA
 
Dr web
Dr webDr web
Dr webBDA
 
Dr web
Dr webDr web
Dr webBDA
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииCisco Russia
 
Websense смешанные атаки и угрозы Web 2 0 готовы ли вы к 2009
Websense смешанные атаки и угрозы Web 2 0  готовы ли вы к 2009Websense смешанные атаки и угрозы Web 2 0  готовы ли вы к 2009
Websense смешанные атаки и угрозы Web 2 0 готовы ли вы к 2009Nick Turunov
 
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакПрограммы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакCisco Russia
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
Опыт противодействия целенаправленным атакам в финансовых организациях
Опыт противодействия целенаправленным атакам в финансовых организацияхОпыт противодействия целенаправленным атакам в финансовых организациях
Опыт противодействия целенаправленным атакам в финансовых организацияхSelectedPresentations
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...ebuc
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Cisco Russia
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Alexey Kachalin
 
Программы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угрозПрограммы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угрозCisco Russia
 
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Expolink
 
А. Собко (Доктор Веб) - Уязвимость защищенных: почему при наличии средств, сп...
А. Собко (Доктор Веб) - Уязвимость защищенных: почему при наличии средств, сп...А. Собко (Доктор Веб) - Уязвимость защищенных: почему при наличии средств, сп...
А. Собко (Доктор Веб) - Уязвимость защищенных: почему при наличии средств, сп...Expolink
 
Найти и обезвредить
Найти и обезвредитьНайти и обезвредить
Найти и обезвредитьCisco Russia
 
Контрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателейКонтрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателейCisco Russia
 

Similar a Risspa app sec trend micro (20)

3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
 
Cisco Social Network Security
Cisco Social Network SecurityCisco Social Network Security
Cisco Social Network Security
 
Dr web
Dr webDr web
Dr web
 
Dr web
Dr webDr web
Dr web
 
Dr web
Dr webDr web
Dr web
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
 
Websense смешанные атаки и угрозы Web 2 0 готовы ли вы к 2009
Websense смешанные атаки и угрозы Web 2 0  готовы ли вы к 2009Websense смешанные атаки и угрозы Web 2 0  готовы ли вы к 2009
Websense смешанные атаки и угрозы Web 2 0 готовы ли вы к 2009
 
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакПрограммы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектов
 
Опыт противодействия целенаправленным атакам в финансовых организациях
Опыт противодействия целенаправленным атакам в финансовых организацияхОпыт противодействия целенаправленным атакам в финансовых организациях
Опыт противодействия целенаправленным атакам в финансовых организациях
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
 
Доклад SiteSecure
Доклад SiteSecureДоклад SiteSecure
Доклад SiteSecure
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
 
Программы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угрозПрограммы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угроз
 
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
 
А. Собко (Доктор Веб) - Уязвимость защищенных: почему при наличии средств, сп...
А. Собко (Доктор Веб) - Уязвимость защищенных: почему при наличии средств, сп...А. Собко (Доктор Веб) - Уязвимость защищенных: почему при наличии средств, сп...
А. Собко (Доктор Веб) - Уязвимость защищенных: почему при наличии средств, сп...
 
Найти и обезвредить
Найти и обезвредитьНайти и обезвредить
Найти и обезвредить
 
Контрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателейКонтрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателей
 
WEBSENSE TRITON APX
WEBSENSE TRITON APX WEBSENSE TRITON APX
WEBSENSE TRITON APX
 

Más de yaevents

Как научить роботов тестировать веб-интерфейсы. Артем Ерошенко, Илья Кацев, Я...
Как научить роботов тестировать веб-интерфейсы. Артем Ерошенко, Илья Кацев, Я...Как научить роботов тестировать веб-интерфейсы. Артем Ерошенко, Илья Кацев, Я...
Как научить роботов тестировать веб-интерфейсы. Артем Ерошенко, Илья Кацев, Я...yaevents
 
Тема для WordPress в БЭМ. Владимир Гриненко, Яндекс
Тема для WordPress в БЭМ. Владимир Гриненко, ЯндексТема для WordPress в БЭМ. Владимир Гриненко, Яндекс
Тема для WordPress в БЭМ. Владимир Гриненко, Яндексyaevents
 
Построение сложносоставных блоков в шаблонизаторе bemhtml. Сергей Бережной, Я...
Построение сложносоставных блоков в шаблонизаторе bemhtml. Сергей Бережной, Я...Построение сложносоставных блоков в шаблонизаторе bemhtml. Сергей Бережной, Я...
Построение сложносоставных блоков в шаблонизаторе bemhtml. Сергей Бережной, Я...yaevents
 
i-bem.js: JavaScript в БЭМ-терминах. Елена Глухова, Варвара Степанова, Яндекс
i-bem.js: JavaScript в БЭМ-терминах. Елена Глухова, Варвара Степанова, Яндексi-bem.js: JavaScript в БЭМ-терминах. Елена Глухова, Варвара Степанова, Яндекс
i-bem.js: JavaScript в БЭМ-терминах. Елена Глухова, Варвара Степанова, Яндексyaevents
 
Дом из готовых кирпичей. Библиотека блоков, тюнинг, инструменты. Елена Глухов...
Дом из готовых кирпичей. Библиотека блоков, тюнинг, инструменты. Елена Глухов...Дом из готовых кирпичей. Библиотека блоков, тюнинг, инструменты. Елена Глухов...
Дом из готовых кирпичей. Библиотека блоков, тюнинг, инструменты. Елена Глухов...yaevents
 
Модели в профессиональной инженерии и тестировании программ. Александр Петрен...
Модели в профессиональной инженерии и тестировании программ. Александр Петрен...Модели в профессиональной инженерии и тестировании программ. Александр Петрен...
Модели в профессиональной инженерии и тестировании программ. Александр Петрен...yaevents
 
Администрирование небольших сервисов или один за всех и 100 на одного. Роман ...
Администрирование небольших сервисов или один за всех и 100 на одного. Роман ...Администрирование небольших сервисов или один за всех и 100 на одного. Роман ...
Администрирование небольших сервисов или один за всех и 100 на одного. Роман ...yaevents
 
Мониторинг со всех сторон. Алексей Симаков, Яндекс
Мониторинг со всех сторон. Алексей Симаков, ЯндексМониторинг со всех сторон. Алексей Симаков, Яндекс
Мониторинг со всех сторон. Алексей Симаков, Яндексyaevents
 
Истории про разработку сайтов. Сергей Бережной, Яндекс
Истории про разработку сайтов. Сергей Бережной, ЯндексИстории про разработку сайтов. Сергей Бережной, Яндекс
Истории про разработку сайтов. Сергей Бережной, Яндексyaevents
 
Разработка приложений для Android на С++. Юрий Береза, Shturmann
Разработка приложений для Android на С++. Юрий Береза, ShturmannРазработка приложений для Android на С++. Юрий Береза, Shturmann
Разработка приложений для Android на С++. Юрий Береза, Shturmannyaevents
 
Кросс-платформенная разработка под мобильные устройства. Дмитрий Жестилевский...
Кросс-платформенная разработка под мобильные устройства. Дмитрий Жестилевский...Кросс-платформенная разработка под мобильные устройства. Дмитрий Жестилевский...
Кросс-платформенная разработка под мобильные устройства. Дмитрий Жестилевский...yaevents
 
Сложнейшие техники, применяемые буткитами и полиморфными вирусами. Вячеслав З...
Сложнейшие техники, применяемые буткитами и полиморфными вирусами. Вячеслав З...Сложнейшие техники, применяемые буткитами и полиморфными вирусами. Вячеслав З...
Сложнейшие техники, применяемые буткитами и полиморфными вирусами. Вячеслав З...yaevents
 
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, ЯндексСканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндексyaevents
 
Масштабируемость Hadoop в Facebook. Дмитрий Мольков, Facebook
Масштабируемость Hadoop в Facebook. Дмитрий Мольков, FacebookМасштабируемость Hadoop в Facebook. Дмитрий Мольков, Facebook
Масштабируемость Hadoop в Facebook. Дмитрий Мольков, Facebookyaevents
 
Контроль зверей: инструменты для управления и мониторинга распределенных сист...
Контроль зверей: инструменты для управления и мониторинга распределенных сист...Контроль зверей: инструменты для управления и мониторинга распределенных сист...
Контроль зверей: инструменты для управления и мониторинга распределенных сист...yaevents
 
Юнит-тестирование и Google Mock. Влад Лосев, Google
Юнит-тестирование и Google Mock. Влад Лосев, GoogleЮнит-тестирование и Google Mock. Влад Лосев, Google
Юнит-тестирование и Google Mock. Влад Лосев, Googleyaevents
 
C++11 (formerly known as C++0x) is the new C++ language standard. Dave Abraha...
C++11 (formerly known as C++0x) is the new C++ language standard. Dave Abraha...C++11 (formerly known as C++0x) is the new C++ language standard. Dave Abraha...
C++11 (formerly known as C++0x) is the new C++ language standard. Dave Abraha...yaevents
 
Зачем обычному программисту знать языки, на которых почти никто не пишет. Але...
Зачем обычному программисту знать языки, на которых почти никто не пишет. Але...Зачем обычному программисту знать языки, на которых почти никто не пишет. Але...
Зачем обычному программисту знать языки, на которых почти никто не пишет. Але...yaevents
 
В поисках математики. Михаил Денисенко, Нигма
В поисках математики. Михаил Денисенко, НигмаВ поисках математики. Михаил Денисенко, Нигма
В поисках математики. Михаил Денисенко, Нигмаyaevents
 
Using classifiers to compute similarities between face images. Prof. Lior Wol...
Using classifiers to compute similarities between face images. Prof. Lior Wol...Using classifiers to compute similarities between face images. Prof. Lior Wol...
Using classifiers to compute similarities between face images. Prof. Lior Wol...yaevents
 

Más de yaevents (20)

Как научить роботов тестировать веб-интерфейсы. Артем Ерошенко, Илья Кацев, Я...
Как научить роботов тестировать веб-интерфейсы. Артем Ерошенко, Илья Кацев, Я...Как научить роботов тестировать веб-интерфейсы. Артем Ерошенко, Илья Кацев, Я...
Как научить роботов тестировать веб-интерфейсы. Артем Ерошенко, Илья Кацев, Я...
 
Тема для WordPress в БЭМ. Владимир Гриненко, Яндекс
Тема для WordPress в БЭМ. Владимир Гриненко, ЯндексТема для WordPress в БЭМ. Владимир Гриненко, Яндекс
Тема для WordPress в БЭМ. Владимир Гриненко, Яндекс
 
Построение сложносоставных блоков в шаблонизаторе bemhtml. Сергей Бережной, Я...
Построение сложносоставных блоков в шаблонизаторе bemhtml. Сергей Бережной, Я...Построение сложносоставных блоков в шаблонизаторе bemhtml. Сергей Бережной, Я...
Построение сложносоставных блоков в шаблонизаторе bemhtml. Сергей Бережной, Я...
 
i-bem.js: JavaScript в БЭМ-терминах. Елена Глухова, Варвара Степанова, Яндекс
i-bem.js: JavaScript в БЭМ-терминах. Елена Глухова, Варвара Степанова, Яндексi-bem.js: JavaScript в БЭМ-терминах. Елена Глухова, Варвара Степанова, Яндекс
i-bem.js: JavaScript в БЭМ-терминах. Елена Глухова, Варвара Степанова, Яндекс
 
Дом из готовых кирпичей. Библиотека блоков, тюнинг, инструменты. Елена Глухов...
Дом из готовых кирпичей. Библиотека блоков, тюнинг, инструменты. Елена Глухов...Дом из готовых кирпичей. Библиотека блоков, тюнинг, инструменты. Елена Глухов...
Дом из готовых кирпичей. Библиотека блоков, тюнинг, инструменты. Елена Глухов...
 
Модели в профессиональной инженерии и тестировании программ. Александр Петрен...
Модели в профессиональной инженерии и тестировании программ. Александр Петрен...Модели в профессиональной инженерии и тестировании программ. Александр Петрен...
Модели в профессиональной инженерии и тестировании программ. Александр Петрен...
 
Администрирование небольших сервисов или один за всех и 100 на одного. Роман ...
Администрирование небольших сервисов или один за всех и 100 на одного. Роман ...Администрирование небольших сервисов или один за всех и 100 на одного. Роман ...
Администрирование небольших сервисов или один за всех и 100 на одного. Роман ...
 
Мониторинг со всех сторон. Алексей Симаков, Яндекс
Мониторинг со всех сторон. Алексей Симаков, ЯндексМониторинг со всех сторон. Алексей Симаков, Яндекс
Мониторинг со всех сторон. Алексей Симаков, Яндекс
 
Истории про разработку сайтов. Сергей Бережной, Яндекс
Истории про разработку сайтов. Сергей Бережной, ЯндексИстории про разработку сайтов. Сергей Бережной, Яндекс
Истории про разработку сайтов. Сергей Бережной, Яндекс
 
Разработка приложений для Android на С++. Юрий Береза, Shturmann
Разработка приложений для Android на С++. Юрий Береза, ShturmannРазработка приложений для Android на С++. Юрий Береза, Shturmann
Разработка приложений для Android на С++. Юрий Береза, Shturmann
 
Кросс-платформенная разработка под мобильные устройства. Дмитрий Жестилевский...
Кросс-платформенная разработка под мобильные устройства. Дмитрий Жестилевский...Кросс-платформенная разработка под мобильные устройства. Дмитрий Жестилевский...
Кросс-платформенная разработка под мобильные устройства. Дмитрий Жестилевский...
 
Сложнейшие техники, применяемые буткитами и полиморфными вирусами. Вячеслав З...
Сложнейшие техники, применяемые буткитами и полиморфными вирусами. Вячеслав З...Сложнейшие техники, применяемые буткитами и полиморфными вирусами. Вячеслав З...
Сложнейшие техники, применяемые буткитами и полиморфными вирусами. Вячеслав З...
 
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, ЯндексСканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
 
Масштабируемость Hadoop в Facebook. Дмитрий Мольков, Facebook
Масштабируемость Hadoop в Facebook. Дмитрий Мольков, FacebookМасштабируемость Hadoop в Facebook. Дмитрий Мольков, Facebook
Масштабируемость Hadoop в Facebook. Дмитрий Мольков, Facebook
 
Контроль зверей: инструменты для управления и мониторинга распределенных сист...
Контроль зверей: инструменты для управления и мониторинга распределенных сист...Контроль зверей: инструменты для управления и мониторинга распределенных сист...
Контроль зверей: инструменты для управления и мониторинга распределенных сист...
 
Юнит-тестирование и Google Mock. Влад Лосев, Google
Юнит-тестирование и Google Mock. Влад Лосев, GoogleЮнит-тестирование и Google Mock. Влад Лосев, Google
Юнит-тестирование и Google Mock. Влад Лосев, Google
 
C++11 (formerly known as C++0x) is the new C++ language standard. Dave Abraha...
C++11 (formerly known as C++0x) is the new C++ language standard. Dave Abraha...C++11 (formerly known as C++0x) is the new C++ language standard. Dave Abraha...
C++11 (formerly known as C++0x) is the new C++ language standard. Dave Abraha...
 
Зачем обычному программисту знать языки, на которых почти никто не пишет. Але...
Зачем обычному программисту знать языки, на которых почти никто не пишет. Але...Зачем обычному программисту знать языки, на которых почти никто не пишет. Але...
Зачем обычному программисту знать языки, на которых почти никто не пишет. Але...
 
В поисках математики. Михаил Денисенко, Нигма
В поисках математики. Михаил Денисенко, НигмаВ поисках математики. Михаил Денисенко, Нигма
В поисках математики. Михаил Денисенко, Нигма
 
Using classifiers to compute similarities between face images. Prof. Lior Wol...
Using classifiers to compute similarities between face images. Prof. Lior Wol...Using classifiers to compute similarities between face images. Prof. Lior Wol...
Using classifiers to compute similarities between face images. Prof. Lior Wol...
 

Risspa app sec trend micro

Notas del editor

  1.   2007 OWASP top 10 OWASP Description Deep Security coverage A1 - Cross Site Scripting (XSS) XSS flaws occur whenever an application takes user supplied data and sends it to a web browser without first validating or encoding that content. XSS allows attackers to execute script in the victim's browser which can hijack user sessions, deface web sites, possibly introduce worms, etc. Yes, DPI A2 - Injection Flaws Injection flaws, particularly SQL injection, are common in web applications. Injection occurs when user-supplied data is sent to an interpreter as part of a command or query. The attacker's hostile data tricks the interpreter into executing unintended commands or changing data. Yes, DPI A3 - Malicious File Execution Code vulnerable to remote file inclusion (RFI) allows attackers to include hostile code and data, resulting in devastating attacks, such as total server compromise. Malicious file execution attacks affect PHP, XML and any framework which accepts filenames or files from users. Partial, DPI A4 - Insecure Direct Object Reference A direct object reference occurs when a developer exposes a reference to an internal implementation object, such as a file, directory, database record, or key, as a URL or form parameter. Attackers can manipulate those references to access other objects without authorization. No A5 - Cross Site Request Forgery (CSRF) A CSRF attack forces a logged-on victim's browser to send a pre-authenticated request to a vulnerable web application, which then forces the victim's browser to perform a hostile action to the benefit of the attacker. CSRF can be as powerful as the web application that it attacks. Partial, DPI A6 - Information Leakage and Improper Error Handling Applications can unintentionally leak information about their configuration, internal workings, or violate privacy through a variety of application problems. Attackers use this weakness to steal sensitive data, or conduct more serious attacks. Very limited (HTTP 500 Server errors) A7 - Broken Authentication and Session Management Account credentials and session tokens are often not properly protected. Attackers compromise passwords, keys, or authentication tokens to assume other users' identities. Partial, (Brute Force attacks – DPI & LI) A8 - Insecure Cryptographic Storage Web applications rarely use cryptographic functions properly to protect data and credentials. Attackers use weakly protected data to conduct identity theft and other crimes, such as credit card fraud. No A9 - Insecure Communications Applications frequently fail to encrypt network traffic when it is necessary to protect sensitive communications. No A10 - Failure to Restrict URL Access Frequently, an application only protects sensitive functionality by preventing the display of links or URLs to unauthorized users. Attackers can use this weakness to access and perform unauthorized operations by accessing those URLs directly. No