В докладе затронуты проблемы конфиденциальности данных авторизации при работе web-приложениями.
- Рассматриваются различные механизмы авторизации в системах и web-сервисах, от basic-авторизации до сложных технических токенов (включая JWT).
- Предлагаются методики по аудиту безопасности web-приложений на предмет возможности утечек с учетом способов их хранения в мобильных устройствах и браузерах.
- Приводятся примеры трафика при передаче данных в авторизованной зоне и какие бывают уязвимости, связанные с Broken access control (OWASP Top-1).
- Описываются сценарии атак, применяемые злоумышленниками на пользователей приложений и случаи утечек.
Доклад рассчитан на аналитиков ИБ, команд тестирований на проникновение, руководителей IT-проектов, разработчиков web/mobile-приложений, архитекторов систем, команд Cybersec/AppSec/DevSecOps.