Преподаватель на курсе для начинающих QA — юниксоид-безопасник. Стоп. Что? [Интервью]

— Ведущий эксперт по безопасности в Acronis уже звучит достаточно круто, но расскажи немного про свой опыт и карьеру. Вся карьера - это UNIX-системы в разных сочетаниях: админ, разработчик, ДевОпс, но большая часть карьеры - все-таки эксперт по безопасности. Где-то по пути также неоднократно был...

Все блоги / Про интернет

Тестируем комплексную защиту от DDoS в 2 этапа

Привет, Хабр! Все любят читать обзоры железа и софта, из которых можно понять, у какого продукта длиннее лучше получается решать поставленные задачи. Для этих целей часто используются синтетические тесты. В этот раз мы решили пройтись таким тестом по нашему сервису защиты веб-ресурсов: в него...

Все блоги / Про интернет

The Standoff 365: на PHDays 11 презентовали платформу bug bounty

На PHDays 19 мая была представлена платформа The Standoff 365 Bug Bounty, которая объединит компании и исследователей безопасности для поиска уязвимостей и оценки защищенности организаций. За первые два дня на платформе зарегистрировались 366 белых хакеров. Первыми на ней разместили свои программы...

Все блоги / Про интернет

Защита веб-приложения в 2022: что должен уметь современный WAF

Модуль машинного обучения в Nemesida WAF - это не маркетинг, призванный повышать продажи за счет популярной концепции, а мощный инструмент, с помощью которого нам удалось перекрыть недостатки сигнатурного анализа и повысить точность выявления атак до 99.98% на боевом трафике. Что ж, пришло время...

Все блоги / Про интернет

Качество ПО, которое содержит сервис платёжных шлюзов: Что? Где? И как тестировать?

Как выйти на рынок с программным продуктом для платёжных операций, который удовлетворит потребности пользователей и гарантирует безопасность транзакций? Рассказываем в этой статье. Читать далее...

Все блоги / Про интернет

Скрытие информации в Angular

Всем привет! Меня зовут Вадим, я занимаюсь тестированием безопасности приложений. С недавнего времени увлекся разработкой на фреймворке Angular. Я решил объединить свое новое увлечение со своей основной работой и показать результаты своего исследования в данной статье. В данной статье описано как...

Все блоги / Про интернет

Как ищут секьюрити уязвимости

Всем привет. Сегодня я хотел бы разобрать какие есть подходы для поиска секьюрити уязвимостей в коде и выяснить как можно обезопасить своё приложение от различных атак. Читать далее...

Все блоги / Про интернет

Как взломать систему через тестовую среду

Безопасность на реальных примерах всегда интересна. Разговор будет идти о взломе систем через тестовые среды. В приведенном ниже примере из тестирования на проникновение для одного нашего клиента был получен прямой доступ в облако с полным доступом сразу к нескольким лайв системам. Сразу...

Все блоги / Про интернет

«Кража» со взломом: пентест финансовой организации

В этом посте мы расскажем, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных. Это реальная история. События, о которых рассказывается в посте, произошли не так уж давно. По просьбе...

Все блоги / Про интернет

Эффективный поиск XSS-уязвимостей

Про XSS-уязвимости известно давным-давно — казалось бы, нужен ли миру ещё один материал о них? Но когда Иван Румак, занимающийся тестированием безопасности, поделился методологией их поиска на нашей конференции Heisenbug, реакция зрителей оказалась очень положительной. И спустя два года у этого...

Все блоги / Про интернет

WebSecOps: изучаем веб-безопасность

Безопасность веб-приложений, по разным причинам, в том числе и репутационным, должна быть приоритетной задачей для компании. Однако разработчики, акцентируя внимание на удобстве использования веб-приложения, не всегда задумываются о его защищенности. И иногда это играет с ними злую шутку. Давайте...

Все блоги / Про интернет

[Перевод] Кража закрытых видео YouTube по одному кадру

В декабре 2019 года, спустя несколько месяцев после того, как я занялся хакингом по программе Google VRP, я обратил внимание на YouTube. Мне хотелось найти способ получать доступ к закрытым (Private) видео, которыми я не владею. При загрузке видео на YouTube можно выбрать один из трёх параметров...

Все блоги / Про интернет

Zero Security: A — этичный хакинг для начинающих

Zero Security: A - уникальные курсы этичного хакинга и тестирования на проникновение от компании Pentestit. Разработаны специально для новичков в области информационной безопасности, которые хотят связать свою дальнейшую деятельность с ИТ-технологиями и развиваться в этом направлении в качестве...

Все блоги / Про интернет

TWAPT — пентестим по-белому в домашних условиях

"Чтобы поймать преступника, нужно мыслить как преступник". В эпоху Интернета киберпреступников можно назвать неуловимыми злодеями, которым для совершения преступлений не требуется показывать своего лица, и даже не обязательно находиться в одной стране с жертвой атаки, а все их действия могут...

Все блоги / Про интернет

Command injection: ось под контролем

Уязвимость «внедрение команд» позволяет выполнять команды на уровне операционной системы. Относится к разновидности инъекций, к которым относятся также SQL-инъекции, межсайтовый скриптинг (XSS), PHP-инъекции и большое количество других инъекций и их разновидностей. Инъекции являются одним из самых...

Все блоги / Про интернет

[Перевод] Путаница зависимостей. Как я взломал Apple, Microsoft и десятки других компаний

С тех пор как я начал учиться программировать, я восхищаюсь уровнем доверия, который мы вкладываем в простую команду, подобную этой: pip install package_name В некоторых языках программирования, таких как Python, это простой, более или менее официальный способ установки зависимостей для ваших...

Все блоги / Про интернет

[Перевод] Как я нашел баг, который раскрывал ваш пароль от PayPal

В охоте на проблемы безопасности погоня за неизведанными активами и скрытыми конечными точками часто заканчивается тем, что вы отвлекаетесь от очевидной, но по-прежнему важной функциональности. Если вы подходите к цели, как будто вы — первый человек, который оценивает безопасность, то я считаю, вы...

Все блоги / Про интернет

50 000 $ в месяц — не проблема, или Сколько на самом деле зарабатывают пентестеры

Пентестер — одна из самых неоднозначных профессий в IT сфере. Вроде как специалист по кибербезопасности, который тестирует системы на уязвимости, но в то же время многие воспринимают его как хакера. Многие люди ошибочно считают, что раз пентестер — это почти хакер, то и зарабатывать он должен...

Все блоги / Про интернет