Certificate Authentication

Part 1. Wprowadzenie

Podstawowe koncepcje

• Granica bezpieczeństwa
• Metafory źródeł i zlewów
• AppSec kill chain
• Modelowanie zagrożeń

Part 2. Backend

Przegląd backendu

• Aktywa i wektory ataku
• Model zagrożeń backendu

Granica aplikacji

• Przegląd linii frontu
• Uwierzytelnienie i autoryzacja
• Zarządzanie sesją
• Walidacja wejścia

Granica bazy danych

• Przegląd linii frontu
• SQL injection
• NoSQL injection

Granica systemu operacyjnego

• Przegląd linii frontu
• Bezpieczeństwo pamięci
• Wstrzykiwanie poleceń (command injection)
• Path traversal
• Blaski i cienie uploadu plików
• XML external entity reference
• Deserializacja

Part 3. Frontend

Przegląd frontendu

• Tragedia ciasteczek
• Single Origin Policy
• JavaScript
• Model zagrożeń frontendu

Granica pochodzenia

• Przegląd linii frontu
• Cross-site scripting

• Cross-site request forgery
• Cross-site leaks
• Inne problemy

Part 4. Wielkie pytania

Jak zachować sekret?

• Zarządzanie sekretami
• Zarządzanie danymi wrażliwymi

Jak zapewnić integralność kodu i danych?

• Ataki na łańcuch dostaw
• Zatruwanie cache

Jak utrzymać dostępność?

• O istotności prowadzenia pamiętnika
• Systemy samonaprawiające się
• Przeżywanie katastrof
• Przeżywanie ataków wolumenowych