Профессиональная конференция фронтенд-разработчиков
Проходит в рамках фестиваля
2015
Российские интернет-технологии
Профессиональная конференция Frontend Conf посвящена всем аспектам разработки клиентской части веб-проектов: дизайн, юзабилити, вёрстка, JavaScript, rich-медиа и так далее. Концепция толстого клиента стала стандартом де-факто — в разработке клиентской части веб-приложений свои правила, законы, фреймворки, подходы к тестированию и проектированию. Всему этому и посвящен Frontend Conf.

(Не)безопасный FrontendКачество

Доклад принят в программу конференции
Сергей Белов

Head Of Application Security в Mail.ru Group.
В 2013 году закончил Томский государственный университет систем управления и радиоэлектроники по специальности "Системы автоматизированного проектирования (САПР)". Работал исследователем в Digital Security.
Автор множества статей по информационной безопасности в журнале «Хакер» и на ресурсе "Хабрахабр".
Выступал на различных конференциях, таких как: ZeroNights, CodeFest, Rit++, OWASP. Вел тренинги на Hack In Paris’2014, Black Hat USA’2014.
Находит уязвимости на крупных порталах: Google, Yandex, Badoo, Vkontakte, Forbes, Wamba, Dgital Ocean и др.

Чем больше выносится данных и действий на Frontend, тем он становится более привлекательным для злоумышленников.

Данный доклад посвящен различным client-side атакам, в том числе, реализуемым через уязвимости во frontend-части веб-приложений:
- DOM Cross Site Scripting;
- Content Security Policy и его обход;
- "мисконфиги" на серверной стороне, позволяющие провести успешные атаки, направленные на браузер пользователя;
- атаки через js-фреймворки;
- правильная установка cookies;
- HSTS;
- HTML5 и безопасность;
- "сложные" случаи эксплуатации client-side уязвимостей;
- и кое-что еще.

Доклад ранее нигде не был представлен.

Другие доклады секции Качество