пʼятниця, 17 червня 2016 р.

Поламай свій сайт, поки це не зробив хтось інший. Підсумки.

Кілька днів тому мені довелося виступати на конференції -  #ITNonStop, і я вирішив підсумувати все сказане в один пост, так як моя доповідь була більше для привернення уваги до проблеми, тож зараз я хочу написати куди копати для пошуку рішень.
Перш за все сам OWASP,  там можна також знайти багато цікавого про:

Далі на що варто звернути увагу .NET девелоперам, це:
Особливу увагу я раджу звернути на блог Троя Ханта. Там розглядається багато тем про безпеку взагалі  і OWASP ризики зокрема,  з точки зору .NET'y. Крім того Трой написав кілька інструментів для перевірки веб сайтів, але ще раз повторюся - наш головний інструмент мізки. Також він написав інструмент з перевірки коли ваш логін/пароль міг "протекти" - https://haveibeenpwned.com/ , можете перевірити на свій страх і ризики. Але не робіть це на сайтах яким не довіряєте.
Отож про Троя:
Так, pluralsight платний, але можна отримати безкоштовні 3 місяці з допомогою Microsoft. Для цього переходимо на сайт Visual Studio Dev Essentials і там активуємо підписку на pluralsight. Якщо у вас є підписка Microsoft не MPN то можна отримати підписку і на рік.

І "last but not least" - http://owasp-lviv.blogspot.com/, блог львівських security інженерів, які регулярно проводять зустрічі - рекомендую відвідати.