5月15日至16日,在PHDays网络安全论坛的站点上,召开
了安全开发社区安全
开发用户小组的下一次会议。 为期两天的计划包括11个不同程度的核心报告和一个专门讨论静态分析的圆桌会议。
根据计划,我们共享会议材料:报告的演示文稿和视频记录。
与视频分开的所有演示都可以在Speakerdeck社区频道上获得 。第一天
积极技术公司的弗拉基米尔·科切特科夫(Vladimir Kochetkov)致开幕词
是否可以泛化源代码分析器?
Ivan Kochurkin,积极技术该报告讨论了各种类型的代码分析器,它们接受正则表达式,令牌,解析树,数据流图和符号执行指令。 演讲者描述了用不同的编程语言总结每种类型的分析仪时出现的问题,并提供了解决方案。 它还演示了每种方法都可以发现的漏洞和弱点(例如goto失败),描述了开源PT.PM源代码分析器的功能,其使用和开发前景。
安全发展的神话传说
Yuri Shabalin,箭鱼安全该报告的作者谈论了追求安全发展方向的主要神话和成见,以及计划和启动中的主要错误。
基于这些神话,传说和错误,演讲者解释了如何建立流程,需要考虑什么,如何正确评估自己的优势并正确启动安全开发过程。 本文介绍了组织措施,技术手段(未指定供应商),开发与信息安全之间的交互作用,意识计划,管理整个过程以及效率指标,这些都是错误和克服错误的主要示例。
C ++中的整数类型安全性
安全专家Igor Sobinov该报告致力于解决C ++中的应用程序免受整数类型溢出攻击的问题。 研究了与此类攻击相关的漏洞的典型案例,其利用可能带来的后果以及保护方法。
理论和实践中的漏洞检测,或者为什么没有完美的静态分析器
Yaroslav Alexandrov,Alexander Chernov和Ekaterina Troshina,太阳能安全该报告讨论了静态代码分析器的基本原理,对构成现代静态分析器的方法和算法进行了比较概述。 通过具体示例,说明了静态分析器如何查找漏洞,并给出了一个答案:为什么没有理想的静态分析器能够快速运行,不会产生误报且不会遗漏漏洞。 作者解释了如何将静态分析器集成到开发过程中,从而使其在资源方面高效并提供高质量的结果。
完美的静态分析
Vladimir Kochetkov,积极技术不存在理想的统计分析工具。 但是,是否存在理想的统计分析过程? 人与SAST工具之间的角色分配应该是什么? 有什么工具可以使人们尽可能轻松地解决统计分析任务?
圆桌会议“ SAST及其在SDLC中的位置”
主持人:Positive Technologies的Vladimir Kochetkov
参与者:Positive Technologies,SolidLab,Mail.ru,太阳能安全,PVS-Studio,ISP RAS
第二天
LibProtection:6个月后
Vladimir Kochetkov,积极技术演讲者讨论了图书馆的公共测试结果,详细考虑了绕过的问题以及如何消除它们,并提出了当年图书馆发展的计划。
区块链共识算法安全基础
Evangelos Deirmentzoglou,积极技术共识算法是任何区块链平台不可或缺的一部分。 该报告重点介绍了共识算法的工作原理,例如工作量证明(完成证明),权益证明(所有权证明),委托权益证明(委托所有权证明)和权限证明(权限证明)。 在分析这些算法之间的差异时,会考虑基于这些技术的系统最常见的攻击,例如双花攻击,51%攻击,贿赂攻击,Sibyl攻击,Nothing-At-Stake攻击等。
英文报告:
俄语报道:
预测以太坊智能合约中的随机数
积极技术Arseny Reutov智能合约不仅用于加密货币代币的初始放置。 Solidity语言实现了使用以太坊区块链的任何人都可以使用的各种彩票,赌场和纸牌游戏。 区块链的自治限制了随机数生成器(RNG)的熵源。 没有通用的库供开发人员用来创建安全的RNG。
因此,实施自己的RNG可能会带来很多问题-实施安全的RNG并非总是可能的,这使攻击者有机会预测结果并窃取资金。 该报告对赌博行业的基于区块链的智能合约进行了分析。 该报告的作者展示了RNG实施不当的真实示例,并讨论了如何识别RNG中的问题并考虑到区块链的局限性来创建自己的安全生成器。
参数化的陷阱和对象方法
Vladimir Kochetkov,积极技术是否总是使用参数化工具以及过渡到对象模型可以有效解决确保应用程序安全性的任务? 这些方法带来什么风险? 使用项目代码时是否可能存在漏洞? 报告的作者使用具体示例和实际案例回答了这些问题。
Android上的方法挂钩
廷古夫(Alexander Guzenko)该报告的作者讲述了“方法挂钩”和“注入器”的含义,并解释了如何了解这两个概念,并将其应用于Android并强制他人的应用程序执行您需要的操作。
如何创建快速的WAF。 构建高性能的网络流量分析系统
迈克尔·巴丹(Walarm)该报告讨论了在WAF中处理软件包的阶段,从请求中获取必要信息,优化令牌化过程,基于正则表达式进行过滤以及将行为分析作为后处理流量的一部分等问题。
我们感谢发言人和与会人员进行的富有成效的会议!
如果您对组织者/演讲者有任何疑问,或者想在下一次PDUG会议上做您的演讲,请写信给
pdug@ptsecurity.com 。