[0x03] - Как делать разработку WEB приложений безопаснее и корректнее, а сервера устойчивее

  • Что: Встреча 0x03 будет посвящена DevOps и правильным конфигурациям серверов, багам и уязвимостям которые допускаются в огромном количестве в процессах разработки и что с этим делать.
  • Где и когда: Встреча была проведена в режиме вебинара (on-line) 20 марта 2019 года в 20:00 (GMT +4).
  • Плейлист с докладами: {YouTube} https://www.youtube.com/playlist?list=PLlZLWgwmfwCP4gqg8oKNcj6DyiTukXC3Q

Доклады встречи

Доклад 0x00. Как правильно сконфигурировать сервер, чтобы минимизировать проблемы.

Видео доклада: https://www.youtube.com/watch?v=2-BAiPCS9_8&list=PLlZLWgwmfwCP4gqg8oKNcj6DyiTukXC3Q&index=1

Тезисы

  • Firewall. Разрешай только то, что действительно необходимо. Базовая конфигурация firewalld.
  • SSHD. На какие параметры стоит обратить внимание при настройке ssh сервера.
  • Fail2ban. А что если блокировать названных гостей?
  • Port knocking для sshd. Если хотим, спрятать открытый SSH.
  • Много всего нужно настраивать. Давайте автоматизируем. Готовые состояния Saltstack для автоматизации настройки firewalls и sshd.
  • Что ещё можно посмотреть?

EXTRA: https://gitlab.com/dc20e6/0x03-saltstack-firewalld-sshd-formulas

Спикер: Kirill [dexoid] Kotov

Доклад 0x01. Основы безопасности web проектов.

Видео доклада: https://www.youtube.com/watch?v=0zilKyj7Scg&list=PLlZLWgwmfwCP4gqg8oKNcj6DyiTukXC3Q&index=2

Тезисы

Рассмотрим как админитратор или разработчик может значительно уменьшить риск эксплуатации уязвимостей корректно сконфигурировав окружение на примере Nginx + PHP

  • Из чего состоит “web-приложение” и как начать работать над его безопасностью
  • Как минимизировать вероятность эксплуатации, закрепления в системе.
  • Советы и примеры настройки NGINX, PHP
  • Логирование и мониторинг

EXTRA: https://gitlab.com/dc20e6/0x03-web-security

Спикер: Alexey [extor] Egorychev

Доклад 0x02. Security through obscurity или почему это и вас касается.

Видео доклада: https://www.youtube.com/watch?v=lhKg7wW0YPY&list=PLlZLWgwmfwCP4gqg8oKNcj6DyiTukXC3Q&index=3

Тезисы

Рассмотрим то, как разработчики могут угробить бизнес, даже есть сервер настроили правильно (предыдущий доклад). Рассмотрим на примере сайта СТАЧКА 2019 и как это все можно проэксплуатировать.

  • Я просто потестить, lol, test, app и, конечно, logs (дирбаааастинг)
  • Рассмотрим техническую сторону уязвимости в Adminer на живом примере
  • “На сделующей неделе обновимся” или “Сейчас нет времени” aka 100500 отмазок почему бизнес не хочет что-то делать и чем это чревато :/
  • Что такое постэксплуатация и как можно закрепиться в системе :)

Спикер: Roman [deadroot] Ananev