Разработчик и эксперт по безопасности приложений в Сбербанке.
Участвую в автоматизации практики AppSec. В свободное время занимаюсь
исследованиями в разных областях кибербезопасности.
Переписывать код под каждый новый апдейт моего любимого фреймворка или
мониторить базу уязвимостей NIST? Удалить уязвимую компоненту из внутреннего
репозитория или понять, применима ли к нам эта уязвимость? Как начать
сканировать 500 kkloc и держать команды в курсе уязвимостей
используемых ими компонент?
В этом докладе мы расскажем о нашем подходе к обеспечению
open-source security: как мы переиспользуем данные других практик AppSec,
как мы меняем под себя инструменты и чего нам так не хватает в современных
OSS-сканерах.
Если безопаснику вечером в отеле нечем заняться — жди уязвимостей!
История об особенности аутентификации одного из решений для отелей,
которое позволяет получить доступ к панели пользователя от имени
любого постояльца, что ведет к раскрытию его личных данных и массе
возможностей по взаимодействию с кухней и администрацией отеля.