Анирудх Ананд

Аналитик по безопасности, Flipkart

О докладчике

Анирудх — исследователь по безопасности, уделяет основное внимание веб-приложениям. Больше пяти лет выискивает баги и помогает улучшать инструменты обеспечения безопасности. Нашел уязвимости в продуктах Google, Microsoft, LinkedIn, Zendesk, SendGrid, GitLab, Gratipay и Flipboard. В свободное время участвует в CTF-соревнованиях. Участвовал во множестве региональных конференций, в том числе Ground Zero Summit Delhi 2015 и Xorconf 2015.
16 ноября
16:00 — 17:00
Main Track
Английский
Нынешний подход к обучению специалистов по безопасности приложений предполагает проведение атак на специальные уязвимые приложения (DVWA, Webgoat). Недостаток этого подхода состоит в том, что учащимся никогда не объясняют, как исправить эксплуатируемые уязвимости. В результате навыки разработчиков и студентов ограничиваются лишь поиском и эксплуатацией уязвимостей. В этом докладе мы представим новый метод обучения специалистов по безопасности: наш практический подход позволяет на одних и тех же задачах равным образом осваивать как сферу offence, так и defence. Для этого мы создали фреймворк, использующий контейнеры Docker в качестве песочницы. В этой среде пользователи получают уязвимый исходный код, исправляют ошибки и отправляют результат. Внутри контейнера код автоматически выполняется, итоги анализируются с помощью серии модульных тестов. Kurukshetra — фреймворк, который мы внедряем, — поможет компаниям эффективно обучать разработчиков методам безопасного программирования, что уменьшит количество уязвимостей в долгосрочной перспективе.