Сегодня хочется поделится чуть-чуть своим опытом проведения технических собеседований в рамках Application Security.
Соответсвенно поделим пост на две части. Сначала расскажу про опыт ведения собеседований, а в следующем посте расскажу, каково быть кандидатом в рамках такого рода интервью.
Вот что я подметил для себя:
1. AppSec крайне непонятный объект, который все компании и соответсвенно кандидаты на интервью видят по разному. Но условно можно поделить на три вида:
1) Когда безопасим только через сканирование кода (SAST, DAST) и тд.
2) Когда можем поаудировать веб, выстроить Арх ревью и поддерживать SSLDC.
3) тоже самое что второй вариант + еще есть компетенции для аудита докера и k8s (extra hard level).
2. По моим ощущениям, требования в больших компаниях от джуна такие же как пару лет назад от крепкого мидла. В этом плане, действительно ребятам, которые начали погружаться относительно не давно предстоят пройти не простой путь для реализации себя, однако все не так плохо, так как если кандидат технически подкован в вебчике - его сложно не заметить.
3. Темы которые хромают у кандидатов, зачастую плюс минус одинаковые. Ими являются: 1) Sop и CORS. 2) Виды Грантов Oauth 2.0 3)Некорректное понимание реализации http, которое ведет к «непоняткам» по клиентским уязвимостям. 4) Браузерные хранилища и их разница. 5) Атрибуты безопасности Cookie (в особенности SameSite) 6) Импакт от уязвимости вида File upload. 99 процентов кандидатов говорит от reverse shell и rce, но упускают path traversal, скулю, XSSку, перезапись файлов и тд. 7) CSP, митигация Dom XSS
Сегодня хочется поделится чуть-чуть своим опытом проведения технических собеседований в рамках Application Security.
Соответсвенно поделим пост на две части. Сначала расскажу про опыт ведения собеседований, а в следующем посте расскажу, каково быть кандидатом в рамках такого рода интервью.
Вот что я подметил для себя:
1. AppSec крайне непонятный объект, который все компании и соответсвенно кандидаты на интервью видят по разному. Но условно можно поделить на три вида:
1) Когда безопасим только через сканирование кода (SAST, DAST) и тд.
2) Когда можем поаудировать веб, выстроить Арх ревью и поддерживать SSLDC.
3) тоже самое что второй вариант + еще есть компетенции для аудита докера и k8s (extra hard level).
2. По моим ощущениям, требования в больших компаниях от джуна такие же как пару лет назад от крепкого мидла. В этом плане, действительно ребятам, которые начали погружаться относительно не давно предстоят пройти не простой путь для реализации себя, однако все не так плохо, так как если кандидат технически подкован в вебчике - его сложно не заметить.
3. Темы которые хромают у кандидатов, зачастую плюс минус одинаковые. Ими являются: 1) Sop и CORS. 2) Виды Грантов Oauth 2.0 3)Некорректное понимание реализации http, которое ведет к «непоняткам» по клиентским уязвимостям. 4) Браузерные хранилища и их разница. 5) Атрибуты безопасности Cookie (в особенности SameSite) 6) Импакт от уязвимости вида File upload. 99 процентов кандидатов говорит от reverse shell и rce, но упускают path traversal, скулю, XSSку, перезапись файлов и тд. 7) CSP, митигация Dom XSS
Скоро новый пост 🥷
BY PythonSec
Warning: Undefined variable $i in /var/www/tg-me/post.php on line 283
Among the actives, Ascendas REIT sank 0.64 percent, while CapitaLand Integrated Commercial Trust plummeted 1.42 percent, City Developments plunged 1.12 percent, Dairy Farm International tumbled 0.86 percent, DBS Group skidded 0.68 percent, Genting Singapore retreated 0.67 percent, Hongkong Land climbed 1.30 percent, Mapletree Commercial Trust lost 0.47 percent, Mapletree Logistics Trust tanked 0.95 percent, Oversea-Chinese Banking Corporation dropped 0.61 percent, SATS rose 0.24 percent, SembCorp Industries shed 0.54 percent, Singapore Airlines surrendered 0.79 percent, Singapore Exchange slid 0.30 percent, Singapore Press Holdings declined 1.03 percent, Singapore Technologies Engineering dipped 0.26 percent, SingTel advanced 0.81 percent, United Overseas Bank fell 0.39 percent, Wilmar International eased 0.24 percent, Yangzijiang Shipbuilding jumped 1.42 percent and Keppel Corp, Thai Beverage, CapitaLand and Comfort DelGro were unchanged.
How Does Bitcoin Work?
Bitcoin is built on a distributed digital record called a blockchain. As the name implies, blockchain is a linked body of data, made up of units called blocks that contain information about each and every transaction, including date and time, total value, buyer and seller, and a unique identifying code for each exchange. Entries are strung together in chronological order, creating a digital chain of blocks. “Once a block is added to the blockchain, it becomes accessible to anyone who wishes to view it, acting as a public ledger of cryptocurrency transactions,” says Stacey Harris, consultant for Pelicoin, a network of cryptocurrency ATMs. Blockchain is decentralized, which means it’s not controlled by any one organization. “It’s like a Google Doc that anyone can work on,” says Buchi Okoro, CEO and co-founder of African cryptocurrency exchange Quidax. “Nobody owns it, but anyone who has a link can contribute to it. And as different people update it, your copy also gets updated.”
