Алексей Голубев / .NET developer @ ukad-group

Краткая биография

Последние 5 лет Алексей занимается разработкой ботов на C# под .Net, поиском и эксплуатацией уязвимостей популярных Web CMS. Алексей проучился в НТУ «ХПИ», после чего ушел в интернет коммерцию. Последние 2 года занимается реверс инженерингом Android приложений с поиском и эксплуатацией их уязвимостей, имитацией работы приложений, ботами на основе приватного API.

Настоящий детектив. В поисках уязвимостей мобильных приложений.

Сейчас практически каждая организация помимо официального веб сайта имеет мобильное приложения для предоставления услуг мобильным пользователям. При этом в отличии от традиционных веб сайтов, которые в большинстве своем использую готовые фреймворки, очищенные от уязвимостей, мобильное API зачастую проектируется отдельно под каждый проект. Такой подход неизбежно ведет за собой разного рода ошибки и отсутствие четкой стандартизации. Тем не менее разработчики от Ebay до мелких компаний совершают одни и те же ошибки, которые ведут к взлому аккаунтов, утечки данных, спаму пользователей и т.д. Недоработки в работе в этой среде процветает даже у огромных компаний.

В докладе будет рассмотрено следующее:

  1. Шифрование трафика. Насколько важно и почему стандартные библиотеки  с SSL не подходят.
  2. Подпись запроса как главная защита от ботов. Почему в большинстве случаев защита обходится за 5 минут и чему нужно поучиться у Ebay.
  3. Обфускация и сокрытие кода. На сколько важна и почему ее нужно делать даже при выпуске версии 1.0.
  4. Старые баги. Как большинство компаний забывает о своем старом дырявом API.
  5. Проверка данных. О чем забывают программисты. Яркие примеры.