FrontEndConf 2015

Сергей Белов, исследователь Digital Security, выступил с докладом «(Не)безопасный Frontend» в секции «Качество» конференции FrontEndConf 2015, прошедшей 21-22 мая в Москве.

Чем больше выносится данных и действий на Frontend, тем он становится более привлекательным для злоумышленников. Доклад Сергея был посвящен различным client-side атакам, в том числе реализуемым через уязвимости во frontend-части веб-приложений:

  • DOM Cross Site Scripting;
  • Content Security Policy и его обход;
  • «Мисконфиги» на серверной стороне, позволяющие провести успешные атаки, направленные на браузер пользователя;
  • Атаки через JS-фреймворки;
  • Правильная установка cookies;
  • HSTS;
  • HTML5 и безопасность;
  • «Сложные» случаи эксплуатации client-side-уязвимостей.