|
В четверг, 25 июня к нам в Санкт-Петербург приезжает эксперт по информационной безопасности, автор блога об AppSec, интересный докладчик и просто хороший человек Владимир Кочетков. Воспользовавшись этим случаем, мы решили провести встречу сообщества SPB .NET Community полностью посвящённую вопросам безопасности ASP .NET приложений. В программе будет 2 доклада, раскрывающих тему разработки защищенных приложений со всех сторон и много общения на эту тему. |
|
Спикеры:
|
|
Владимир Кочетков Team lead и security researcher в компании Positive Technologies. Принимает непосредственное участие в разработке анализатора защищенности приложений Application Inspector. Является участником и администратором проекта RSDN. Теория Application Security .NET Доклад посвящен теоретическому минимуму, которым необходимо овладеть для разработки защищенного кода .NET. Будут рассмотрены основные понятия предметной области AppSec (Application Security) и предложена классификация, позволяющая описывать их в более понятной и привычной для разработчиков форме. На базе этого, будет описана методика разработки и оценки защищенного кода, не требующая экспертных знаний в области ИБ. Применение методики будет продемонстрировано на основе уязвимостей к атакам класса инъекций (SQL/HTML/XML/XQuery/XPath Injection, Path Traversal, XXE и т.п). |
|
|
Михаил Щербаков Организатор встреч SPB .NET Community, руководитель проектов в компании Cezurity. Ранее занимался разработкой анализатора кода в Positive Technologies, работал team lead'ом в Acronis и Luxoft. Профессиональные интересы: статический и динамический анализ кода, информационная безопасность, автоматизация отладки кода, исследование внутреннего устройства .NET CLR. Практика Application Security .NET В докладе будет рассмотрена практическая составляющая предметной области Application Security для .NET-разработчиков. Будут рассмотрены многочисленные примеры уязвимого кода, демонстрирующие недостатки, позволяющие атакующему нарушить защищенность системы с помощью различных типов атак: XSS, XXE, CSRF, Session Fixation, атак на уязвимости бизнес-логики и т.п. Посмотрим на ограниченность встроенных в .NET механизмов валидации запросов и данных. |
Учасние бесплатное, необходима регистрация!
Дополнительную информацию о встречах SPB .NET Community Вы можете найти в группе сообщества по ссылке. Вступайте в группу, задавайте вопросы, участвуйте в жизни сообщества!