• Информационная безопасность, #2.3, Инженерный зал

Microsoft .NET MVP, участник .NET Core Bug Bounty Program, соорганизатор сообщества .NET программистов, независимый разработчик и консультант. Профессиональные интересы: информационная безопасность, статический и динамический анализ кода, автоматизация отладки кода, исследование внутреннего устройства .NET CLR.

Посмотрим на топ возможных атак на веб-приложения и актуальные механизмы защиты, доступные в каждом современном фреймворке. Многие разработчики знают о XSS и различных инъекциях, но мало приложений используют доступные «из коробки» механизмы защиты от этих атак. Часто достаточно добавить несколько строк кода, чтобы предотвратить или сильно усложнить проведение атаки злоумышленником.
О таких механизмах мы и будем говорить. Разложим по полочкам проведение client side атак, чтобы разработчики смогли оценить применение необходимых мер защиты. Разберем методы защиты от XSS, CSRF, правильную настройку междоменного взаимодействия, ошибки, которые могут быть допущены при работе с cookies и другие «скользкие моменты», которые можно избежать, зная о встроенных в фреймворк security features. Все примеры будут показаны на основе последней версии ASP .NET Core, как одного из самых современных веб-фреймворков.

Доклад будет интересен в первую очередь web-разработчикам, специалистам, проводящим security review, и всем желающим разобраться в реализации компонентов безопасности на примере .NET Core платформы.