25 июня в 18:00 по Москве пройдёт шестой митап в серии Backend United под кодовым названием «Табаско». Тема митапа — безопасность. Будем говорить об обнаружении и предотвращении ошибок при написании и эксплуатации кода, которые могут привести к проблемам с секьюрностью.
Традиционно для Backend United речь пойдёт о технологиях и подходах, не завязанных на конкретный язык программирования.
Доклады
Как мы (и нас) сами себя взламываем: безопасность глазами разработчика — Денис Юрьев, Skyeng
Проблемы взлома и уязвимости сайтов никуда не делись в 2020-м. На примере текущих и прошлых проектов я покажу многие вещи, которые вы можете обнаружить и, надеюсь, успеть поправить — от неправильной настройки заголовков NGINX и XSS до DDoS и перебора паролей.
Заодно вы узнаете:
- Решают ли фреймворки проблему безопасности? Спойлер: нет.
- Как не доверять фронтенду.
- Как прокачаться в вопросах безопасности.
О спикере: Я тимлид, а ранее — бэкенд-разработчик в Skyeng Math. Работаю удаленно из Новосибирска. В разработке с 2012 года. Интересуюсь лучшими практиками CI/CD, тестирования и безопасности.
Single quote injection to find them all — Александр Трифанов, Авито
Скажите, а вы пишете логи об ошибках? А как часто их потом читаете? Рассказываем о нашем опыте обнаружения атак на базы данных в реальном времени по ошибкам в Sentry. Спойлер: всех убил апостроф.
О спикере: Замкадыш из Новосибирска. Занимаюсь тестированием на проникновение и разработкой решений по поиску уязвимостей. Неравнодушен к реверс-инжинирингу и эксплуатации бинарных уязвимостей.
Security Training & Awareness в Тинькофф – Елена Клочкова, Тинькофф
Доклад о том, как мы в Тинькофф c нуля развивали культуру безопасного программирования в командах, и какими способами смогли вовлечь самих разработчиков в поиск уязвимостей.
Расскажу, какие процессы безопасности устоялись, какие оказались неэффективными, и как их внедрение повлияло на метрики команды Application Security.
DevSecOps для облачного провайдера: опыт Яндекс.Облака — Антон Жаболенко, Яндекс.Облако
В докладе мы рассмотрим типовые для облачного провайдера кейсы безопасности. А ещё поговорим о том, как внедрённые нами процессы безопасности в Яндекс.Облаке помогают бороться с различными угрозами.
О спикере: Я инженер по информационной безопасности в Яндекс.Облаке. Занимаюсь поиском уязвимостей и проектированием безопасных сервисов. Интересуюсь бинарной эксплуатацией и side channel атаками. Преподаю безопасность веба и реверс в МГУ.
Онлайн,Backend United #6: Табаско — разработчики о безопасности
- Анонс
- Программа
- Участники
- Спикеры
25 июня в 18:00 по Москве пройдёт шестой митап в серии Backend United под кодовым названием «Табаско». Тема митапа — безопасность. Будем говорить об обнаружении и предотвращении ошибок при написании и эксплуатации кода, которые могут привести к проблемам с секьюрностью.
Традиционно для Backend United речь пойдёт о технологиях и подходах, не завязанных на конкретный язык программирования.
Доклады
Как мы (и нас) сами себя взламываем: безопасность глазами разработчика — Денис Юрьев, Skyeng
Проблемы взлома и уязвимости сайтов никуда не делись в 2020-м. На примере текущих и прошлых проектов я покажу многие вещи, которые вы можете обнаружить и, надеюсь, успеть поправить — от неправильной настройки заголовков NGINX и XSS до DDoS и перебора паролей.
Заодно вы узнаете:
- Решают ли фреймворки проблему безопасности? Спойлер: нет.
- Как не доверять фронтенду.
- Как прокачаться в вопросах безопасности.
О спикере: Я тимлид, а ранее — бэкенд-разработчик в Skyeng Math. Работаю удаленно из Новосибирска. В разработке с 2012 года. Интересуюсь лучшими практиками CI/CD, тестирования и безопасности.
Single quote injection to find them all — Александр Трифанов, Авито
Скажите, а вы пишете логи об ошибках? А как часто их потом читаете? Рассказываем о нашем опыте обнаружения атак на базы данных в реальном времени по ошибкам в Sentry. Спойлер: всех убил апостроф.
О спикере: Замкадыш из Новосибирска. Занимаюсь тестированием на проникновение и разработкой решений по поиску уязвимостей. Неравнодушен к реверс-инжинирингу и эксплуатации бинарных уязвимостей.
Security Training & Awareness в Тинькофф – Елена Клочкова, Тинькофф
Доклад о том, как мы в Тинькофф c нуля развивали культуру безопасного программирования в командах, и какими способами смогли вовлечь самих разработчиков в поиск уязвимостей.
Расскажу, какие процессы безопасности устоялись, какие оказались неэффективными, и как их внедрение повлияло на метрики команды Application Security.
DevSecOps для облачного провайдера: опыт Яндекс.Облака — Антон Жаболенко, Яндекс.Облако
В докладе мы рассмотрим типовые для облачного провайдера кейсы безопасности. А ещё поговорим о том, как внедрённые нами процессы безопасности в Яндекс.Облаке помогают бороться с различными угрозами.
О спикере: Я инженер по информационной безопасности в Яндекс.Облаке. Занимаюсь поиском уязвимостей и проектированием безопасных сервисов. Интересуюсь бинарной эксплуатацией и side channel атаками. Преподаю безопасность веба и реверс в МГУ.
