Допустим, специалисты по безопасности нашли в нашем приложении уязвимости, они оказались просты в эксплуатации и очень опасны. Мы можем их исправить, но как убедиться, что через некоторое время не появятся новые?
Отныне искать уязвимости в каждом обновлении будут сканеры: если они что-нибудь найдут, релиз в продакшн не уедет. Сейчас мы научились работать с XSS и уже нашли с помощью такого подхода уязвимости.
В докладе расскажем о нашем опыте в автоматизации поиска XSS-уязвимостей: что нас к этому привело, как решали задачу и с какими проблемами столкнулись. Поговорим о том, как проверять сложное веб-приложение на наличие уязвимостей, чем можно пользоваться для поиска, какие еще виды уязвимостей можно искать в автоматическом режиме и реально ли сделать поиск уязвимостей частью CI.
Презентация доклада:
Запись выступления:
