Разработка безопасных веб приложений
Download as PPTX, PDF0 likes557 views
Документ описывает проблемы и вызовы, с которыми сталкивается команда по информационной безопасности Майкрософт, такие как нехватка ресурсов и необходимость быстрого выхода на рынок. Он также обсуждает важность безопасности программного обеспечения и предлагает подходы к моделированию угроз и обеспечению защищенного кода. Приведены статистические данные о уязвимостях различных платформ и рекомендации по улучшению процессов разработки с акцентом на безопасность.
![МЕТОД УСТАРЕЛ, ПРИМЕНИМ ТОЛЬКО ДЛЯ СТАРЫХ БРАУЗЕРОВ
[{"Id":1,"Amt":3.14},{"Id":2,"Amt":2.72}]
Конструкция
<script src="http://example.com/Home/AdminBalances"></script>
загружает JSON-массив как валидный
JavaScript код и выполняет его.
__defineSetter__](https://image.slidesharecdn.com/securewebdevsdl-120226052025-phpapp02/85/-23-320.jpg)
![ПРОТИВОДЕЙСТВИЯ АТАКЕ
• [Bind(Include = ―Title‖, Exclude =
―ViewCount‖)]
• Использовать Data Transfer Objects
(DTO) - модели данных представлений,
отличные от моделей данных](https://image.slidesharecdn.com/securewebdevsdl-120226052025-phpapp02/85/-26-320.jpg)
Разработка безопасных веб приложений
- 1. Бешков Андрей Руководитель программы информационной безопасности Microsoft http://beshkov.ru http://twitter.com/abeshkov abeshkov@microsoft.com
- 3. • Сроки запуска проекта горят • Нет ресурсов и специалистов для обеспечения безопасных практик • Мы стартап – нам нужно быстрее стать популярными и заработать много денег • Безопасность необходимое зло
- 5. после выпуска дороже в 30 раз Относительная стоимость устранения ошибок 30 Выпуск 25 20 15 10 5 0 Требования/ Интеграция/ Финальное После Кодирование Архитектура Тестирование тестирование выпуска компонент Источник: National Institute of Standards and Technology
- 6. Критические уязвимости через год после выпуска 70 60 50 40 30 20 10 0 Windows XP Windows Vista Windows 7
- 7. 3,500 3,280 3,322 3,042 2,822 2,869 3,000 2,594 Не Microsoft 2,417 2,500 2,215 2,000 1,500 1,000 500 Microsoft 170 152 97 93 146 113 129 145 0 2H06 1H07 2H07 1H08 2H08 1H09 2H09 1H10
- 8. 3,500 3079 3110 3,000 2807 2547 2573 2,500 2351 2161 1943 2,000 1,500 1,000 500 259 242 276 310 256 207 237 196 112 96 79 0 122 2H06 1H07 2H07 1H08 2H08 1H09 2H09 1H10 Приложения Браузеры ОС
- 9. Sun Solaris 10 1191 Red Hat Enterprise Linux Server v.5 1580 FreeBSD 6.x 86 Microsoft Windows Server 2008 302 Apple Mac OS X 1555 Red Hat Enterprise Linux Client v.5 1709 Ubuntu Linux 8.04 (выпуск 2008 год) 1397 Windows XP (выпуск 2001 год) 498 Windows 7 170 Oracle Database 11.x 315 IBM DB2 9.x 98 MySQL 5.x 66 Microsoft SQL Server 2008 1 Mozilla Firefox 4.0 (04.2011) 14 Firefox 3.5.x (2009) 161 Opera 11 (10.2010) 10 Opera 9.x (2008) 56 Google Chrome 11 (04.2011) 30 Chrome 5.x (5.2010) 56 Microsoft Internet Explorer 9 (03.2011) 18 Explorer 8.x (3.2009) 104 Cisco ASA 7.x 71 Microsoft ISA Server 2006 7 Microsoft Forefront TMG 2 В ядре Linux 2.6 — 596 уязвимостей . Почти в 3 раза больше уязвимостей чем в Windows 7
- 10. SDL – обязательная политика в Майкрософт с 2004 г. Обуче Требо Проекти Реали Провер Реагиро Выпуск ние вания рование зация ка вание Начальное Определение Моделирован Выбор Динамическое План Выполнение владельца от ие угроз инструментов тестирование реагирования плана обучение бизнеса и fuzzing реагирования Анализ Блокировани Заключитель- по Анализ опасных е Проверка ный анализ на инциденты основам рисков областей запрещенных моделей угроз безопасности безопасно безопасности функций и опасных Архив сти и конфиден- Статический областей выпусков циальности анализ Определение требований к качеству Обучение Технология и процесс Ответственность Постоянные улучшения процессов
- 12. SDL THREAT MODELING TOOL Формализует и упрощает моделирование угроз так чтобы им мог заниматься архитектор
- 13. Как написать безопасный код на С++, Java, Perl, PHP, ASP. NET Защищенный код для Windows Vista Игра «Spot the vuln» 10 уязвимостей веб проектов - OWASP Top Ten Курсы SANS Книга по SDL Упрощенный SDL Курсы по SDL
- 16. ПРОТИВОДЕЙСТВИЯ АТАКЕ • Не использовать GET-запросы для внесения изменений в БД и доступа к важным данным
- 18. ПРОТИВОДЕЙСТВИЯ АТАКЕ ValidateRequest ValidateInput AllowHtml
- 22. ПРОТИВОДЕЙСТВИЯ АТАКЕ HTTP Referer Html.AntiForgeryToken() ValidateAntiForgeryToken ViewStateUserKey
- 23. МЕТОД УСТАРЕЛ, ПРИМЕНИМ ТОЛЬКО ДЛЯ СТАРЫХ БРАУЗЕРОВ [{"Id":1,"Amt":3.14},{"Id":2,"Amt":2.72}] Конструкция <script src="http://example.com/Home/AdminBalances"></script> загружает JSON-массив как валидный JavaScript код и выполняет его. __defineSetter__
- 24. ПРОТИВОДЕЙСТВИЯ АТАКЕ {"d" : "bankaccountnumber", "$1234.56" } __defineSetter__ для данной атаки больше
- 25. ХАРАКТЕРНО ДЛЯ ASP.NET MVC
- 26. ПРОТИВОДЕЙСТВИЯ АТАКЕ • [Bind(Include = ―Title‖, Exclude = ―ViewCount‖)] • Использовать Data Transfer Objects (DTO) - модели данных представлений, отличные от моделей данных
- 28. WPL • http://wpl.codeplex.com/
- 30. ПРОВЕРКА КОНФИГУРАЦИЙ ASP.NET 2.0
- 31. WEB APPLICATION CONFIGURATION ANALYZER
- 33. Вебсайт SDL The Simplified Implementation of the SDL Блог об SDL Microsoft Enterprise Library Microsoft Web Protection Library Best Practice Analyzer for ASP.NET Microsoft Web Application Configuration Analyzer v2.0