Positive Development Community

2022-08-23 10:12:58 Онлайн-запуск PT BlackBox уже сегодня

Начинаем в 14:00. Ссылку на трансляцию пришлем чуть позже.

А еще это твой последний шанс, Лебовски, выиграть ковер с уязвимостями. Да-да, тот самый, который задает стиль всей комнате.

Успей зарегистрироваться здесь до 12:00 (по МСК), если до сих пор этого не сделал, и подключайся в 14:00 к трансляции. Ковер и другой приятный мерч разыграем в финале. Открыть/Комментировать

2022-08-18 13:05:08 Твой ковер у нас, Лебовски!

Cможешь забрать его 23 августа после того, как рандомайзер выберет тебя в качестве победителя среди участников онлайн-запуска PT BlackBox.

Зачем?
На ковре опасные уязвимости, сможешь вытирать о них ноги, ведь в твоем приложении их нет. Или есть? Тогда тебе точно нужно быть 23 августа в 14:00 на онлайн-запуске российского динамического анализатора — PT BlackBox.

Больше нет времени объяснять! Регистрируйся! Открыть/Комментировать

2022-08-12 18:10:47 Всех с пятницей, классных выходных! Открыть/Комментировать

2022-08-11 19:26:32 Еженедельная подборка новостей от POSIdev

AWSGoat - учебное уязвимое приложение для AWS-инфраструктур, основанное на последнем OWASP Top 10

Группа исследователей раскрыла новый метод атаки на ЦП Intel

Эксперты предупредили об опасности сокрытия вредоносных приложений в мемах

Обновлена библиотека LibAFL для построения фаззеров

О взгляде на код C/C++ глазами реверсера

Открыть/Комментировать

2022-08-11 12:30:33 PT BlackBox. Онлайн-запуск
|23 августа в 14:00|

Идеальный исходный код еще не гарантирует безопасность. Важно проводить динамическое тестирование приложения и анализировать его поведение в среде использования. Это поможет вовремя найти уязвимости и предотвратить реализацию недопустимых событий.

Решения DAST (Dynamic Application Security Testing) с открытым кодом, представленные на рынке, не могут похвастаться высоким качеством сканирования. Коммерческие DAST-инструменты поставляют только зарубежные вендоры.

23 августа состоится онлайн-запуск российского динамического анализатора приложений ― PT BlackBox.

Эксперты Positive Technologies расскажут, зачем бизнесу нужен DAST, как развивалась технология этого метода, и продемонстрируют новый продукт.

Зарегистрироваться Открыть/Комментировать

2022-08-04 18:40:19 Сегодня четверг, а значит пора глянуть еженедельную подборку новостей от POSIdev

Компьютер с процессором Intel Xeon взломал постквантовый алгоритм шифрования всего за час

Группа исследователей из Oxeye обнаружила уязвимость, затрагивающую приложения на языке Go и позволяющую обходить проверки, основанные на разборе параметров HTTP-запросов.

Всеобъемлющий гайд по моделированию угроз приложений

Вышла новая версия ImHex - многофункционального HEX-редактора для реверс-инженеров и разработчиков

Эксперты из Digital Security опубликовали очередную статью из цикла об анализе iOS-приложений

Открыть/Комментировать

2022-08-02 04:44:52 Минутка вакансий

Программист-математик С# (PT Application Inspector), Positive Technologies

Ищем в команду разработки PT Application Inspector программиста C# с хорошим знанием математики (это правда пригодится в работе).

Локация: любой город (удалёнка) или Москва/СПб/Новосибирск (гибридный формат)

Уровень: middle/senior

Требования:

• опыт разработки приложений под .NET (C#) или желание и готовность перейти на наш стек в течение испытательного срока;
• принципы ООП и проектирования ПО;
• методы рефакторинга;
• основные алгоритмы и структуры данных.

Будет плюсом:

• знания синтаксиса и семантики других языков программирования;
• понимание принципов работы компиляторов, методов решения задач по анализу кода;
• знания в области безопасности веб-приложений;
• теоретический бэкграунд (теории вычислений, графов, множеств, формальных языков).

Контакты: @vkochetkov

———

Application Security Expert (Offensive), Тинькофф

ЗП: 150 000 - 300 000 net

Локация: Любой город
Формат работы: гибрид\удаленная работа
Занятость: полная
Уровень: Middle\Senior

Обязанности:
• Проведение аудитов безопасности приложений и сервисов
• Взаимодействие с продуктовыми командами для разбора и устранения найденных уязвимостей
• Автоматизация процессов безопасности
• Заниматься исследовательской деятельностью в области информационной безопасности (Security Research)
• Развитие Bug-Bounty программы
• Строить вместе процесс безопасной разработки ПО (Security SDLC)

Требования:
• Практический опыт анализа приложений
• Опыт работы с инструментами анализа безопасности приложений (Burp/Semgrep)
• Умение читать код на различных языках (Java/JS/Python)
• Умение анализировать исходный код на предмет наличия уязвимостей
• Практическое понимание всех распространенных техник эксплуатации
• Не только понимаете, как работают угрозы из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25, но можете рассказать, как их устранить и не допускать в будущем
• Понимание принципов работы современных веб-приложений, микросервисной архитектуры
• Участие в bug-bounty будет большим плюсом

Контакты: Tg: @voitkat; e.voytkevich@tinkoff.ru Открыть/Комментировать