Сегодня хочется поделится чуть-чуть своим опытом проведения технических собеседований в рамках Application Security.
Соответсвенно поделим пост на две части. Сначала расскажу про опыт ведения собеседований, а в следующем посте расскажу, каково быть кандидатом в рамках такого рода интервью.
Вот что я подметил для себя:
1. AppSec крайне непонятный объект, который все компании и соответсвенно кандидаты на интервью видят по разному. Но условно можно поделить на три вида:
1) Когда безопасим только через сканирование кода (SAST, DAST) и тд.
2) Когда можем поаудировать веб, выстроить Арх ревью и поддерживать SSLDC.
3) тоже самое что второй вариант + еще есть компетенции для аудита докера и k8s (extra hard level).
2. По моим ощущениям, требования в больших компаниях от джуна такие же как пару лет назад от крепкого мидла. В этом плане, действительно ребятам, которые начали погружаться относительно не давно предстоят пройти не простой путь для реализации себя, однако все не так плохо, так как если кандидат технически подкован в вебчике - его сложно не заметить.
3. Темы которые хромают у кандидатов, зачастую плюс минус одинаковые. Ими являются: 1) Sop и CORS. 2) Виды Грантов Oauth 2.0 3)Некорректное понимание реализации http, которое ведет к «непоняткам» по клиентским уязвимостям. 4) Браузерные хранилища и их разница. 5) Атрибуты безопасности Cookie (в особенности SameSite) 6) Импакт от уязвимости вида File upload. 99 процентов кандидатов говорит от reverse shell и rce, но упускают path traversal, скулю, XSSку, перезапись файлов и тд. 7) CSP, митигация Dom XSS
Сегодня хочется поделится чуть-чуть своим опытом проведения технических собеседований в рамках Application Security.
Соответсвенно поделим пост на две части. Сначала расскажу про опыт ведения собеседований, а в следующем посте расскажу, каково быть кандидатом в рамках такого рода интервью.
Вот что я подметил для себя:
1. AppSec крайне непонятный объект, который все компании и соответсвенно кандидаты на интервью видят по разному. Но условно можно поделить на три вида:
1) Когда безопасим только через сканирование кода (SAST, DAST) и тд.
2) Когда можем поаудировать веб, выстроить Арх ревью и поддерживать SSLDC.
3) тоже самое что второй вариант + еще есть компетенции для аудита докера и k8s (extra hard level).
2. По моим ощущениям, требования в больших компаниях от джуна такие же как пару лет назад от крепкого мидла. В этом плане, действительно ребятам, которые начали погружаться относительно не давно предстоят пройти не простой путь для реализации себя, однако все не так плохо, так как если кандидат технически подкован в вебчике - его сложно не заметить.
3. Темы которые хромают у кандидатов, зачастую плюс минус одинаковые. Ими являются: 1) Sop и CORS. 2) Виды Грантов Oauth 2.0 3)Некорректное понимание реализации http, которое ведет к «непоняткам» по клиентским уязвимостям. 4) Браузерные хранилища и их разница. 5) Атрибуты безопасности Cookie (в особенности SameSite) 6) Импакт от уязвимости вида File upload. 99 процентов кандидатов говорит от reverse shell и rce, но упускают path traversal, скулю, XSSку, перезапись файлов и тд. 7) CSP, митигация Dom XSS
Скоро новый пост 🥷
BY PythonSec
Warning: Undefined variable $i in /var/www/tg-me/post.php on line 283
Secure video calling is in high demand. As an alternative to Zoom, many people are using end-to-end encrypted apps such as WhatsApp, FaceTime or Signal to speak to friends and family face-to-face since coronavirus lockdowns started to take place across the world. There’s another option—secure communications app Telegram just added video calling to its feature set, available on both iOS and Android. The new feature is also super secure—like Signal and WhatsApp and unlike Zoom (yet), video calls will be end-to-end encrypted.
Should You Buy Bitcoin?
In general, many financial experts support their clients’ desire to buy cryptocurrency, but they don’t recommend it unless clients express interest. “The biggest concern for us is if someone wants to invest in crypto and the investment they choose doesn’t do well, and then all of a sudden they can’t send their kids to college,” says Ian Harvey, a certified financial planner (CFP) in New York City. “Then it wasn’t worth the risk.” The speculative nature of cryptocurrency leads some planners to recommend it for clients’ “side” investments. “Some call it a Vegas account,” says Scott Hammel, a CFP in Dallas. “Let’s keep this away from our real long-term perspective, make sure it doesn’t become too large a portion of your portfolio.” In a very real sense, Bitcoin is like a single stock, and advisors wouldn’t recommend putting a sizable part of your portfolio into any one company. At most, planners suggest putting no more than 1% to 10% into Bitcoin if you’re passionate about it. “If it was one stock, you would never allocate any significant portion of your portfolio to it,” Hammel says.
