В течении всего второго дня
PHDaysАвтор: kochetkov.vladimir
Дата: 24.03.17
будет проходить отдельный трек, посвящённый средствам безопасной разработки, разработке средств безопасности и безопасным средствам разработки. В общем -- полный
PDUG. С его программой можно ознакомиться здесь:
https://www.facebook.com/events/1322081787861433/permalink/1325484590854486/ Как участвовавший в CFP по этому треку и видевший контент большинства докладов, могу сказать, что неинтересных или унылых среди них нет -- готов лично рекомендовать каждый.
Не является исключением и мастер-класс "Трущобы Application Security", который будем проводить я и
Денис Колегов в течении первых трёх часов трека. Цель данного мастер-класса проста и по-своему уникальна: дав участникам базовые представления о теории, стоящей за направлением AppSec, научить их разрабатывать свои собственные средства защиты приложений и анализа их защищённости. Для этого мы специально разработали учебные версии WAF и статического анализатора небольшого подмножества языка C, код которых опубликуем в ближайшее время под свободной лицензией. В ходе мастер-класса мы подробно разберём их внутреннее устройство, обсудим реализованные в них механизмы, возможные подводные камни и пути их дальнейшего развития.
Хочется также отметить, что речь пойдёт не только и не столько о grep-based инструментах, сколько о вполне себе "взрослых" походах на базе токенизации потоков данных, всевозможных эвристик и абстрактной интерпретации / symbolic-выполнения кода.
В общем, если вы когда-нибудь хотели просто так взять и реализовать свои собственные WAF с SAST или интересовались, как это всё работает в подробностях -- приходите на наш мастер-класс, расскажем и покажем ^_^
Самое важное --
Для этого при
регистрации на мероприятии укажите в поле "Организация" не только свою организацию, но и `RSDN`.
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
