RU
Доклад посвящен проблеме уязвимостей .NET-приложений к атакам инъекций в языки различных грамматик (HTML, JavaScript, URL, SQL, Path и т.п). В первой части доклада будет рассмотрена формальная модель приложения, уязвимого к данному классу атак, и основанный на ней универсальный подход к защите от них.
Вторая часть посвящена обзору открытой библиотеки LibProtection, позволяющей разработчикам безопасно использовать привычный API для работы с форматными и интерполируемыми строками при работе с входными данными и скрывающей за ним полнофункциональный инструмент встраиваемой защиты времени выполнения.
Скачать презентацию.
Владимир Кочетков
Positive Technologies
С 2006 года работал в предметной области информационной безопасности. В Positive Technologies пришел в 2012 году на должность ведущего эксперта группы анализа защищенности веб-приложений. Участвовал в проектах по анализу защищенности приложений, исследовал методики тестирования приложений. При участии Владимира реализован продукт PT Application Inspector. В 2014-2016 возглавлял группу разработки анализаторов компилируемых приложений и руководил проектом разработки модуля анализа бинарного кода. С сентября 2016 года руководит отделом исследований анализа защищенности приложений. Принимает непосредственное участие в теоретических изысканиях в направлении анализа защищенности приложений и прототипировании перспективных продуктов компании. Автор статей в журналах HITB Magazine, «Хакер» и RSDN Magazine. Неоднократно участвовал в международном форуме Positive Hack Days (в качестве организатора и докладчика) и конференции .NET-разработчиков DotNext, регулярно выступает на встречах user group разработчиков. Принимает участие в развитии сообщества русскоязычных разработчиков RSDN. Один из организаторов Positive Development User Group — инициативы, направленной на погружение разработчиков в предметную область защиты приложений. Ведет блог kochetkov.github.io.