Talk in Polish at CodeteCon #KRK3
Track Name:
JavaScript & Co
View Slides: https://docs.google.com/presentation/d/1T_f74MZ3K7xk-LzGe3WH2xO3FzmV9WWPOWF2u2LKavc/edit?usp=sharing
Short URL: https://joind.in/talk/a597b
(QR-Code (opens in new window))
Testy bezpieczeństwa aplikacji są zwykle pomijane - z różnych przyczyn: brak czasu, budżetu lub umiejętności. Natomiast znalezione luki są zamiatane pod dywan - z jednej przyczyny: “Ale przecież nikt tego nie zrobi...”.
W tej prezentacji pokażę nie tylko dlaczego testy bezpieczeństwa nie powinny być traktowane jako zbędne, ale przede wszystkim dlaczego _ktoś_ to jednak zrobi (i dlaczego powinieneś to być Ty, i dlaczego to robię ja ;) )
Ataki frontendowe to między innymi code injection, cross-site scripting, cross-site request forgery, dangling markup czy clickjacking, które dodatkowo przy użyciu technik phishingowych potrafią wywołać niemały bałagan.
Z mojego doświadczenia wynika, że nie ma w 100% bezpiecznych aplikacji i każda testowana przeze mnie miała swoje dziury - od clickjackingu, przez code injection aż do całkowitego dostępu do bazy danych z zewnątrz.
Wyobraź sobie co mogłoby się stać z Twoim projektem gdy nadgorliwy gość z odrobiną wiedzy chciałby położyć na nim swoje łapska. A co gdyby to był wysoko opłacany kontraktor? Albo nieuczciwa konkurencja? Lub nie jeden, a grupa, której działania wywodzą się z pobudek politycznych czy ideologicznych chcących pogrążyć nie tylko Twój projekt, ale i wszystkich którzy z niego korzystają?
Ale pewnie, “Przecież nikt tego nie zrobi...”. Chyba, że...
Comments
Comments are closed.