[Thinknetica] Безопасность приложений на Ruby on Rails (Александр Борисов)

[pryanay]

За время воркшкопа вы научитесь:

• понимать, какие проблемы с информационной безопасностью существуют в веб-приложениях
• решать проблемы с информационной безопасностью в приложениях на Ruby on Rails
• перестраивать процесс разработки с учётом возможных проблем безопасности

День 1. Информационная безопасность приложения

Решаем проблемы несанкционированного использования приложения:

• получение закрытых данных
• выполнение несанкционированных действий
• выполнение действий от имени пользователей

В результате вы:

• ознакомитесь с актуальными проблемами безопасности веб-приложений
• изучите принципы устранения проблем с безопасностью
• познакомитесь с организационными мерами для решения подобных проблем

День 2. Кейсы решения проблем с безопасностью

Разбираемся с типовыми проблемами безопасности и методами их решения:

• CSRF
• Session fixation
• Dynamic code execution
• Password salting
• XSS
• редиректы
• загрузка файлов
• SQL-инъекции

В результате вы:

• детально разберётесь с типовыми проблемами безопасности и методами их решения в приложениях на Ruby on Rails

День 3. Информационная безопасность в процессе разработки

Организационные меры:

• приоритезация
• bug bounty program
• security audit
• security review
• Continuous Security

Continuous Security:

• принципы
• обзор инструментов

В результате вы:

• узнаете как применять организационные меры для решения проблем с безопасностью
• увидите, как встраивать автоматические инструменты проверки безопасности на CI