Testy bezpieczeństwa aplikacji są zwykle pomijane - z różnych przyczyn: brak czasu, budżetu lub umiejętności. Natomiast znalezione luki są zamiatane pod dywan - z jednej przyczyny: “Ale przecież nikt tego nie zrobi...”.

W tej prezentacji pokażę nie tylko dlaczego testy bezpieczeństwa nie powinny być traktowane jako zbędne, ale przede wszystkim dlaczego _ktoś_ to jednak zrobi (i dlaczego powinieneś to być Ty, i dlaczego to robię ja ;) )
Ataki frontendowe to między innymi code injection, cross-site scripting, cross-site request forgery, dangling markup czy clickjacking, które dodatkowo przy użyciu technik phishingowych potrafią wywołać niemały bałagan.

Z mojego doświadczenia wynika, że nie ma w 100% bezpiecznych aplikacji i każda testowana przeze mnie miała swoje dziury - od clickjackingu, przez code injection aż do całkowitego dostępu do bazy danych z zewnątrz.
Wyobraź sobie co mogłoby się stać z Twoim projektem gdy nadgorliwy gość z odrobiną wiedzy chciałby położyć na nim swoje łapska. A co gdyby to był wysoko opłacany kontraktor? Albo nieuczciwa konkurencja? Lub nie jeden, a grupa, której działania wywodzą się z pobudek politycznych czy ideologicznych chcących pogrążyć nie tylko Twój projekt, ale i wszystkich którzy z niego korzystają?

Ale pewnie, “Przecież nikt tego nie zrobi...”. Chyba, że...

Comments

Comments are closed.