Ошибки в конфигурации IAM (Identity Access Management) — частая причина security и data breaches. SSO-аутентификация позволяет унифицировать процесс управления пользователями, их ролями и привилегиями и решает эту проблему. Однако практическое внедрение SSO в большую организацию может представлять собой весьма сложный и нетривиальный процесс.

В докладе будет рассмотрен практический кейс внедрения SSO в крупный международный маркетплейс, в результате которого удалось унифицировать процесс управления тысячами пользователей и организовать «сквозной» доступ к десяткам внутренних систем (Grafana, Kibana, HashiCorp Vault, WireGuard, Kubernetes, и т. д.), используя единую учетную запись.

Вячеслав рассмотрит:
1. Использование связки dex и Keycloak для интеграции IT-пользователей из GitHub с бизнес-пользователями из других систем.
2. Способы настройки SSO-аутентификации и авторизации для клиентских приложений, которые изначально не поддерживают SSO (например, WireGuard GUI) с помощью OAuth2 Proxy.
3. SSO-аутентификацию и авторизацию в Yandex Managed Service for Kubernetes, использующую федеративный доступ.
4. Декларативное описание конфигурации IAM (клиентские приложения, группы, роли и их ассоциация с группами) с помощью Terraform.

Доклад будет полезен DevOps-инженерам, CTO и CIO, которые стремятся упростить процессы IAM и внедрить SSO-аутентификацию и авторизацию в своих организациях.

Разрабатывая ПО на заказ, мы всегда действуем в условиях ограниченных сроков и бюджетов и зачастую приходится пренебрегать безопасностью. А при внедрении в процесс разработки практик DevSecOps вопрос стоимости их внедрения и сопровождения выходит на передний план.

Специфика заказной разработки такова, что зачастую реализуемые компанией проекты имеют множество различий, которые нужно учитывать при внедрении DevSecOps. Нужен набор универсальных практик, которые получится масштабировать на все проекты так, чтобы это не приводило к существенному росту проектных бюджетов.

В данном докладе поговорим о существующих способах обеспечения безопасности и о том, как сложно/дорого их интегрировать в процесс разработки в условиях неоднородности стека/архитектуры/инфраструктуры/процессов реализуемых проектов. Рассмотрим основные классы инструментов автоматической проверки безопасности и рассмотрим процесс внедрения по каждому их них — например: Gitleaks, Trivy, OWASP ZAP и др. Особое внимание уделим стоимости первичного внедрения и дальнейшего применения.

В результате слушатели смогут более взвешенно принимать решения о необходимости внедрения тех или иных практик DevSecOps, в том числе с точки зрения их экономической целесообразности. 

В 21-м веке информацию можно считать валютой. Тем не менее разработчики веб-приложений пренебрегают сохранностью своего «кошелька», соря «деньгами».

Антон расскажет о своем опыте сбора информации о веб-приложении для проведения тестирования на проникновение. Будут рассматриваться баги и мисконфигурации в сайтах, с помощью которых можно достать информацию.  

А также:
— разберем схему поиска информации о сайте для проведения тестирования на проникновение;
— обсудим опасности, которые таит в себе открытое REST API;
— рассмотрим, чем опасна утечка данных в поисковые системы;
— узнаем, что может «рассказать» файл.

Доклад позволит веб-разработчикам понимать, как работают OSINT’теры, и делать свои приложения более безопасными.

В своем докладе Алексей расскажет, к каким последствиям приводят допущенные на этапе разработки ошибки, и подробно рассмотрит процесс эксплуатации этих ошибок злоумышленниками. 

В докладе будут затронуты темы:
— как некорректная работа с кавычками приводит к утечке пользовательских паролей;
— как заставить сервер взломать другой сервер;
— про «инъекции»;
— про то, как использование «дырявых» компонентов приводит к массовым взломам.

Доклад поможет понять, как действуют злоумышленники при взломе веб-приложений, распознавать различные способы хакерских атак и превентивно предотвращать их появление.