web applica on security for
play

Web applica*on security for dynamic languages - PowerPoint PPT Presentation

Mar 24, 2023 •142 likes •1.09k views

Web applica*on security for dynamic languages zane@etsy.com @zanelackey Who am I? Security Engineering Manager @ Etsy Lead AppSec/NetSec/SecEng teams

  1. Web ¡applica*on ¡security ¡for ¡ dynamic ¡languages ¡ ¡ ¡ zane@etsy.com ¡ @zanelackey ¡

  2. Who ¡am ¡I? ¡ ¡ • Security ¡Engineering ¡Manager ¡@ ¡Etsy ¡ – Lead ¡AppSec/NetSec/SecEng ¡teams ¡ ¡ • Formerly ¡@ ¡iSEC ¡Partners ¡ ¡ • Books/presenta*ons ¡primarily ¡focused ¡on ¡ applica*on ¡and ¡mobile ¡security ¡ ¡ ¡ ¡

  3. What ¡is ¡Etsy? ¡ ¡ ¡ Online ¡marketplace ¡for ¡crea*ve ¡independent ¡ businesses ¡ ¡ ¡ ¡

  4. Scale ¡at ¡Etsy ¡ ¡ 1.5B ¡pageviews/mo ¡ 40M ¡uniques/mo ¡ #50 ¡by ¡US ¡traffic * ¡ ¡ ¡ ¡ * ¡November2012, ¡Alexa ¡site ¡ranking ¡ ¡

  5. About ¡this ¡talk ¡ ¡ ¡ ¡ Real ¡world ¡approaches ¡to ¡web ¡applica*on ¡ security ¡challenges ¡ ¡ ¡

  6. About ¡this ¡talk ¡ ¡ ¡ ¡ Specifically, ¡techniques ¡that ¡are ¡ simple ¡and ¡ effec*ve ¡ ¡ ¡

  7. ¡ ¡ Con*nuous ¡deployment? ¡

  8. <-­‑ ¡What ¡it ¡ (hopefully) ¡ isn’t ¡ ¡

  9. ¡ ¡ Three ¡words: ¡iterate, ¡iterate, ¡iterate ¡

  11. ¡ ¡ Etsy ¡pushes ¡to ¡produc*on ¡ 30 ¡*mes ¡a ¡day ¡on ¡ average ¡ ¡

  12. ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡(dogs ¡push ¡too) ¡ ¡

  13. ¡ ¡ But ¡doesn’t ¡the ¡rapid ¡ rate ¡of ¡change ¡mean ¡ things ¡are ¡less ¡ secure?! ¡

  14. Actually, ¡the ¡opposite ¡is ¡ true ¡

  15. ¡ ¡ Being ¡able ¡to ¡deploy ¡quick ¡is ¡our ¡ #1 ¡security ¡ feature ¡ ¡ ¡

  16. Compared ¡to ¡ ¡ ¡ We’ll ¡rush ¡that ¡security ¡fix. ¡ ¡It ¡will ¡go ¡out ¡in ¡the ¡ next ¡release ¡in ¡about ¡6 ¡weeks. ¡ ¡ -­‑ ¡ Former ¡vendor ¡at ¡Etsy ¡

  17. What ¡it ¡boils ¡down ¡to ¡ (spoiler ¡alert) ¡ ¡ • Make ¡things ¡safe ¡by ¡default ¡ • Detect ¡risky ¡func*onality ¡/ ¡Focus ¡your ¡efforts ¡ ¡ • Automate ¡the ¡easy ¡stuff ¡ • Know ¡when ¡the ¡house ¡is ¡burning ¡down ¡ ¡ ¡ ¡

  18. ¡ ¡ Safe ¡by ¡default ¡

  19. ¡ ¡ How ¡have ¡the ¡tradi*onal ¡defenses ¡for ¡XSS ¡ worked ¡out? ¡ ¡ ¡ ¡

  21. Safe ¡by ¡default ¡ • Problems? ¡ ¡ – Ofen ¡done ¡on ¡a ¡per-­‑input ¡basis ¡ • Easy ¡to ¡miss ¡an ¡input ¡or ¡output ¡ ¡ – May ¡use ¡defenses ¡in ¡wrong ¡context ¡ • Input ¡valida*on ¡pagern ¡may ¡block ¡full ¡HTML ¡injec*on, ¡but ¡ not ¡injec*ng ¡inside ¡JS ¡ – May ¡put ¡defenses ¡on ¡the ¡client ¡side ¡in ¡JS ¡ – Etc ¡… ¡ These ¡problems ¡miss ¡the ¡point ¡

  22. Safe ¡by ¡default ¡ • The ¡real ¡problem ¡is ¡that ¡it’s ¡hard ¡to ¡find ¡where ¡ protec*ons ¡have ¡been ¡missed ¡ ¡ ¡ ¡ • How ¡can ¡we ¡change ¡our ¡approach ¡to ¡make ¡it ¡ simpler? ¡ ¡

  23. Safe ¡by ¡default ¡ ¡ ¡ Input ¡valida*on ¡ Output ¡encoding ¡

  24. Safe ¡by ¡default ¡ ¡ ¡ Input ¡valida*on ¡ Output ¡ encoding ¡

  25. Safe ¡by ¡default ¡ ¡ Encode ¡dangerous ¡HTML ¡characters ¡to ¡HTML ¡ en**es ¡at ¡the ¡ very ¡start ¡ of ¡your ¡framework ¡ ¡ ¡ To ¡repeat… ¡ Before ¡input ¡reaches ¡main ¡ applica*on ¡code ¡ ¡

  26. Safe ¡by ¡default ¡ ¡ ¡ ¡ On ¡the ¡surface ¡this ¡doesn’t ¡seem ¡like ¡much ¡of ¡a ¡ change ¡

  27. Safe ¡by ¡default ¡ ¡ ¡ ¡ Except, ¡we’ve ¡just ¡made ¡lots ¡of ¡XSS ¡problems ¡ grep-­‑able ¡

  28. ¡ ¡ ¡

  29. Safe ¡by ¡default ¡ Now ¡we ¡look ¡for ¡a ¡small ¡number ¡of ¡pagerns: ¡ • HTML ¡en*ty ¡decoding ¡func*ons ¡or ¡explicit ¡string ¡ replacements ¡ • Data ¡in ¡formats ¡that ¡won’t ¡be ¡sani*zed ¡ ¡ – Ex: ¡Base64 ¡encoded, ¡double ¡URL ¡encoded, ¡etc ¡ • Code ¡that ¡opts ¡out ¡of ¡plalorm ¡protec*ons ¡

  30. Safe ¡by ¡default ¡ Fundamentally ¡shifs ¡us: ¡ ¡ From : ¡“Where ¡is ¡my ¡app ¡missing ¡protec*ons?” ¡ (hard) ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ To : ¡“Where ¡is ¡it ¡made ¡deliberately ¡unsafe?” ¡ (easy) ¡ ¡

  31. Safe ¡by ¡default ¡ Obviously ¡not ¡a ¡panacea ¡ ¡ – DOM ¡based ¡XSS ¡ ¡ – Javascript: ¡URLs ¡ – Can ¡be ¡a ¡pain ¡during ¡interna*onaliza*on ¡efforts ¡

  32. ¡ ¡ Focus ¡your ¡efforts ¡

  33. Focus ¡your ¡efforts ¡ ¡ • Con*nuous ¡deployment ¡means ¡code ¡ships ¡fast ¡ • Things ¡will ¡go ¡out ¡the ¡door ¡before ¡security ¡ team ¡knows ¡about ¡them ¡ • How ¡can ¡we ¡detect ¡high ¡risk ¡func*onality? ¡

  34. Detect ¡risky ¡func*onality ¡ • Know ¡when ¡sensi*ve ¡por*ons ¡of ¡the ¡codebase ¡ have ¡been ¡modified ¡ ¡ • Build ¡automa*c ¡change ¡aler*ng ¡on ¡the ¡ codebase ¡ – Iden*fy ¡sensi*ve ¡por*ons ¡of ¡the ¡codebase ¡ ¡ – Create ¡automa*c ¡aler*ng ¡on ¡modifica*ons ¡ ¡

  35. Detect ¡risky ¡func*onality ¡ • Doesn’t ¡have ¡to ¡be ¡complex ¡to ¡be ¡effec*ve ¡ • Approach: ¡ ¡ – sha1sum ¡sensi*ve ¡plalorm ¡level ¡files ¡ – Unit ¡tests ¡alert ¡if ¡hash ¡of ¡the ¡file ¡changes ¡ – No*fies ¡security ¡team ¡on ¡changes, ¡drives ¡code ¡ review ¡

  36. Detect ¡risky ¡func*onality ¡ • At ¡the ¡plalorm ¡level, ¡watching ¡for ¡changes ¡to ¡ site-­‑wide ¡sensi*ve ¡func*onality ¡ ¡ – CSRF ¡defenses ¡ – Session ¡management ¡ ¡ – Encryp*on ¡wrappers ¡ – Login/Authen*ca*on ¡ – Etc ¡

  37. Detect ¡risky ¡func*onality ¡ • At ¡the ¡feature ¡level, ¡watching ¡for ¡changes ¡to ¡ specific ¡sensi*ve ¡methods ¡ • Iden*fying ¡these ¡methods ¡is ¡part ¡of ¡ini*al ¡ code ¡review/pen ¡test ¡of ¡new ¡features ¡

  38. Detect ¡risky ¡func*onality ¡ • Watch ¡for ¡dangerous ¡func*ons ¡ ¡ • Usual ¡candidates: ¡ – File ¡system ¡opera*ons ¡ – Process ¡execu*on/control ¡ – Encryp*on ¡/ ¡Hashing ¡ – Etc ¡

  39. Detect ¡risky ¡func*onality ¡ • Unit ¡tests ¡watch ¡codebase ¡for ¡dangerous ¡ func*ons ¡ ¡ – Split ¡into ¡separate ¡high ¡risk/low ¡risk ¡lists ¡ • Alerts ¡are ¡emailed ¡to ¡the ¡appsec ¡team, ¡drive ¡ code ¡reviews ¡ ¡ ¡

  40. Detect ¡risky ¡func*onality ¡ • Monitor ¡applica*on ¡traffic ¡ • Purpose ¡is ¡twofold: ¡ – Detec*ng ¡risky ¡func*onality ¡that ¡was ¡missed ¡by ¡ earlier ¡processes ¡ ¡ – Groundwork ¡for ¡agack ¡detec*on ¡and ¡verifica*on ¡ ¡

  41. Detect ¡risky ¡func*onality ¡ • Regex ¡incoming ¡requests ¡at ¡the ¡framework ¡ – Sounds ¡like ¡performance ¡nightmare, ¡shockingly ¡ isn’t ¡ ¡ • Look ¡for ¡HTML/JS ¡in ¡request ¡ ¡ – This ¡creates ¡a ¡huge ¡number ¡of ¡false ¡posi*ves ¡ • That’s ¡by ¡design, ¡we ¡refine ¡the ¡search ¡later ¡

  42. Detect ¡risky ¡func*onality ¡ • We ¡deliberately ¡want ¡to ¡cast ¡a ¡wide ¡net ¡to ¡see ¡ HTML ¡entering ¡the ¡applica*on ¡ ¡ • From ¡there, ¡build ¡a ¡baseline ¡of ¡HTML ¡ ¡ – Entering ¡the ¡applica*on ¡in ¡aggregate ¡ ¡ – Received ¡by ¡specific ¡endpoints ¡

  43. Detect ¡risky ¡func*onality ¡ What ¡to ¡watch ¡for: ¡ – Did ¡a ¡new ¡endpoint ¡suddenly ¡show ¡up? ¡ ¡ • A ¡new ¡risky ¡feature ¡might’ve ¡just ¡shipped ¡ – Did ¡the ¡amount ¡of ¡traffic ¡containing ¡HTML ¡just ¡ significantly ¡go ¡up? ¡ ¡ • Worth ¡inves*ga*ng ¡ ¡

  44. Detect ¡risky ¡func*onality ¡ ¡ Aggregate ¡increased, ¡*me ¡to ¡inves*gate ¡

  45. ¡ ¡ Automate ¡the ¡easy ¡stuff ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Security Applica.ons of GPUs So.ris Ioannidis Founda.on for

Security Applica.ons of GPUs So.ris Ioannidis Founda.on for

Security Applica.ons of GPUs So.ris Ioannidis Founda.on for Research and Technology Hellas (FORTH) Outline Background and mo-va-on GPU-based,

961 views • 62 slides
Painless Applica,on Security Les Hazlewood Apache Shiro Project

Painless Applica,on Security Les Hazlewood Apache Shiro Project

Painless Applica,on Security Les Hazlewood Apache Shiro Project Chair CTO, Kataso5 Inc / CloudDirectory What is Apache Shiro? Applica&gt;on security

628 views • 43 slides
Dialog in NLP applica.ons VELJKO MILJANIC Overview Applica(ons in S2S

Dialog in NLP applica.ons VELJKO MILJANIC Overview Applica(ons in S2S

Dialog in NLP applica.ons VELJKO MILJANIC Overview Applica(ons in S2S systems Overview of S2S system architecture Modeling contextual informa(on in S2S

977 views • 75 slides
Oracle PeopleSo, applica.ons are under a3acks! Alexey Tyurin

Oracle PeopleSo, applica.ons are under a3acks! Alexey Tyurin

Invest in security to secure investments Oracle PeopleSo, applica.ons are under a3acks! Alexey Tyurin About ERPScan The only 360-degree SAP

1.12k views • 79 slides
Web App Log Analytics www.roykim.ca roy@roykim.ca Op Open Web Applica cation tion Secu

Web App Log Analytics www.roykim.ca roy@roykim.ca Op Open Web Applica cation tion Secu

August 21, 2019 Web App Log Analytics www.roykim.ca roy@roykim.ca Op Open Web Applica cation tion Secu curity rity Project ject OWASP ModSecurity Core Rule Set (CRS) OWASP Top 10 Most Critical Web Application Security Risks

490 views • 21 slides
FlowFence: Prac-cal Data Protec-on for Emerging IoT Applica-on Frameworks Earlence Fernandes,

FlowFence: Prac-cal Data Protec-on for Emerging IoT Applica-on Frameworks Earlence Fernandes,

FlowFence: Prac-cal Data Protec-on for Emerging IoT Applica-on Frameworks Earlence Fernandes, Jus/n Paupore, Amir Rahma/, Daniel Simionato, Mauro Con/, Atul Prakash University of Michigan, University of Padova Published at USENIX Security 2016

468 views • 22 slides
CDBG/SSG CDBG/SSG Pr Pre-Applica pplication tion Meeting Meeting October 8, 2020 Applica

CDBG/SSG CDBG/SSG Pr Pre-Applica pplication tion Meeting Meeting October 8, 2020 Applica

CDBG/SSG CDBG/SSG Pr Pre-Applica pplication tion Meeting Meeting October 8, 2020 Applica pplications tions Two Types of Applications: CI: C apital I mprovement projects funded by CDBG only SS:S ocial S ervice projects funded by CDBG

378 views • 37 slides
Applica.ons of Crypto: SSL/TLS Slides credit: Dan Boneh, Doug Tygar, David

Applica.ons of Crypto: SSL/TLS Slides credit: Dan Boneh, Doug Tygar, David

Computer Security Course. Dawn

715 views • 26 slides
Grid Applica+on Meta-Repository - Repository interconnec+vity

Grid Applica+on Meta-Repository - Repository interconnec+vity

Grid Applica+on Meta-Repository - Repository interconnec+vity and cross-domain applica+on usage in distributed compu+ng environments - Alexandru Tudose

389 views • 14 slides
Towards Towards Secure Secure and and Relia liable Io IoT Applica Applicatio ions Gang Gang Tan,

Towards Towards Secure Secure and and Relia liable Io IoT Applica Applicatio ions Gang Gang Tan,

Towards Towards Secure Secure and and Relia liable Io IoT Applica Applicatio ions Gang Gang Tan, Tan, CSE, CSE, Penn Penn State State Nov 15th, 2019 @ 2 nd IoT Security and Privacy Workshop Internet of Things (IoT) enables the future Power

686 views • 51 slides
Email Security Guevara Noubir Network Security Northeastern

Email Security Guevara Noubir Network Security Northeastern

Email Security Guevara Noubir Network Security Northeastern University Email Security 1 Email One of the most widely used applica&gt;ons of the

360 views • 14 slides
Applica'on for membership to LSC Riccardo DeSalvo

Applica'on for membership to LSC Riccardo DeSalvo

Applica'on for membership to LSC Riccardo DeSalvo Visi'ng Adjunct professor at Universit degli studi del Sannio Gainesville27th September 2011 JGW

468 views • 19 slides
Medical Applica+ons for Manifold Learning: I)

Medical Applica+ons for Manifold Learning: I)

Medical Applica+ons for Manifold Learning: I) Mul+-Modal Registra+on II) Breathing Ga+ng Chris+an Wachinger (wachinge@in.tum.de)

506 views • 39 slides
Web Applica+on Frameworks Jay Urbain, Ph.D. Credits: www

Web Applica+on Frameworks Jay Urbain, Ph.D. Credits: www

Web Applica+on Frameworks Jay Urbain, Ph.D. Credits: www h6p://en.wikipedia.org/ Ma5 Raible: h6p://raibledesigns.com h6p://www.techempower.com/benchmarks 1 2

952 views • 47 slides
Providing educa.on about the safe applica.on of fer.lizers and

Providing educa.on about the safe applica.on of fer.lizers and

Providing educa.on about the safe applica.on of fer.lizers and the reduc.on of pes.cides to enhance water quality and environmental health Long Island

236 views • 7 slides
Detec%ng Inconsistencies in JavaScript MVC Applica%ons Frolin S.

Detec%ng Inconsistencies in JavaScript MVC Applica%ons Frolin S.

Detec%ng Inconsistencies in JavaScript MVC Applica%ons Frolin S. Ocariza, Jr., Karthik PaAabiraman and Ali Mesbah University of British Columbia Most popular

504 views • 37 slides
LOAN ORIGINATIONS AND DEFAULTS IN THE MORTGAGE CRISIS: THE ROLE OF THE MIDDLE CLASS Manuel

LOAN ORIGINATIONS AND DEFAULTS IN THE MORTGAGE CRISIS: THE ROLE OF THE MIDDLE CLASS Manuel

LOAN ORIGINATIONS AND DEFAULTS IN THE MORTGAGE CRISIS: THE ROLE OF THE MIDDLE CLASS Manuel Adelino (Duke), Antoinette Schoar (MIT Sloan and NBER) Felipe Severino (Dartmouth) Motivation A common view of the 07 mortgage crisis is that

694 views • 37 slides
A Possible Framework to Think About the Problem Categories of Essential DoD Assets

A Possible Framework to Think About the Problem Categories of Essential DoD Assets

A Possible Framework to Think About the Problem Categories of Essential DoD Assets Category One: Assets fully managed by DoD DoD Installations and facilities (including ranges located on the installation) Equipment and

167 views • 5 slides
Bolt: Data management for connected homes Trinabh Gupta*, Rayman Preet Singh

Bolt: Data management for connected homes Trinabh Gupta*, Rayman Preet Singh

Bolt: Data management for connected homes Trinabh Gupta*, Rayman Preet Singh Amar Phanishayee, Jaeyeon Jung, Ratul Mahajan *The University of Texas at AusBn

571 views • 42 slides
Congress Chapter 12 1 congress powerpoint 90 slides February 27, 2015 The Constitution and the

Congress Chapter 12 1 congress powerpoint 90 slides February 27, 2015 The Constitution and the

congress powerpoint 90 slides February 27, 2015 Congress Chapter 12 1 congress powerpoint 90 slides February 27, 2015 The Constitution and the Legislative Branch of the Government Article I describes structure of Congress Bicameral

1.28k views • 90 slides
Chapter 4 Word-based models Statistical Machine Translation Lexical Translation How to

Chapter 4 Word-based models Statistical Machine Translation Lexical Translation How to

Chapter 4 Word-based models Statistical Machine Translation Lexical Translation How to translate a word look up in dictionary Haus house, building, home, household, shell. Multiple translations some more frequent than others

1.2k views • 61 slides
Welcome to the GSAS Virtual Open House New Student Checklist | Campus Map | Tours | Meet Current

Welcome to the GSAS Virtual Open House New Student Checklist | Campus Map | Tours | Meet Current

Welcome to the GSAS Virtual Open House New Student Checklist | Campus Map | Tours | Meet Current Students Please turn your speakers on for the event GSAS Offices Graduate Enrollment Services (GES) provides a comprehensive array of services

267 views • 7 slides
8

8

8

503 views • 8 slides
University, AgBio Subcommittee on Higher Research, and MSU Education and Community Extension

University, AgBio Subcommittee on Higher Research, and MSU Education and Community Extension

Michigan State House Appropriations University, AgBio Subcommittee on Higher Research, and MSU Education and Community Extension Colleges February 21, 2019 Serving Michigan First Serving Michigan First In-State Enrollment MSU welcomes

811 views • 32 slides

More recommend