Channel: WBTECH
Собрались в очередной раз на мозговой штурм, чтобы в очередной раз сделать мир лучше.
На днях подкаст SafeCode Live собрал в прямом эфире классных гостей: наши ИБ-шники Алексей Федулаев и Лев Хакимов, Даниил Сигалов из SolidSoft обсудили спортивные состязания хакеров в формате Capture the Flag (CTF).
Поговорили про защиту и нападение, мифические и реальные уязвимости в продукте, и о том, как их находить и как от них защититься: attack-defense и task-based (jeopardy) — что это и зачем, и можно ли зарабатывать на поиске уязвимостей.
Обсудили разные виды соревнований: Standoff, Attack-Defense, Polygon, Bull’s Eye, VSFI;
Разобрали пример типового захвата флага, и какие могут быть задачи в процессе (криптография, фронтенд, бэкенд, хранилища данных, алгоритмы, реверс-инжиниринг), и как CTF помогает лучше понять пентесты и реверс-инжиниринг.
В общем, приятного просмотра.
#wbtech #wbsecurity #wbspeakers
Поговорили про защиту и нападение, мифические и реальные уязвимости в продукте, и о том, как их находить и как от них защититься: attack-defense и task-based (jeopardy) — что это и зачем, и можно ли зарабатывать на поиске уязвимостей.
Обсудили разные виды соревнований: Standoff, Attack-Defense, Polygon, Bull’s Eye, VSFI;
Разобрали пример типового захвата флага, и какие могут быть задачи в процессе (криптография, фронтенд, бэкенд, хранилища данных, алгоритмы, реверс-инжиниринг), и как CTF помогает лучше понять пентесты и реверс-инжиниринг.
В общем, приятного просмотра.
#wbtech #wbsecurity #wbspeakers
Будете на DevOooooooooops, забегайте к нам на огонек!
Круглый стол «Безопасность: консультативная vs запрещающая» с Антоном Жаболенко (Wildberries), Дмитрием Евдокимовым (Luntry) и Александром Каледой (Яндекс).
Сравним консультативный и запрещающий подходы, выявим плюсы и минусы каждого, рассмотрим риски и сложности, которые ждут на каждом из путей.
Ведущий: Алексей Федулаев (Wildberries).
#wbtech #wbsecurity #devoops #wbspeakers
Круглый стол «Безопасность: консультативная vs запрещающая» с Антоном Жаболенко (Wildberries), Дмитрием Евдокимовым (Luntry) и Александром Каледой (Яндекс).
Сравним консультативный и запрещающий подходы, выявим плюсы и минусы каждого, рассмотрим риски и сложности, которые ждут на каждом из путей.
Ведущий: Алексей Федулаев (Wildberries).
#wbtech #wbsecurity #devoops #wbspeakers
Собираем карьеру: Security Operation Centre
Портал Global Digital Space взял интервью у Ивана Дьячкова, руководителя центра информационной безопасности Wildberries.
Получился теплый ламповый подкаст о том, как эникею пересечь третью линию: как выбрать специализацию ИБ по душе, какими знаниями нужно обладать и сколько времени потребуется на то, чтобы стать руководителем в сфере информационной безопасности.
Ведущий: Лев Палей (Вебмониторэкс).
#wbtech #wbsecurity #wbspeakers
PS. Если хотите к Ване в команду, то вот они, вакансии:
— SOC Analysts Tech Lead
— SOC Engineer
Портал Global Digital Space взял интервью у Ивана Дьячкова, руководителя центра информационной безопасности Wildberries.
Получился теплый ламповый подкаст о том, как эникею пересечь третью линию: как выбрать специализацию ИБ по душе, какими знаниями нужно обладать и сколько времени потребуется на то, чтобы стать руководителем в сфере информационной безопасности.
Ведущий: Лев Палей (Вебмониторэкс).
#wbtech #wbsecurity #wbspeakers
PS. Если хотите к Ване в команду, то вот они, вакансии:
— SOC Analysts Tech Lead
— SOC Engineer
пВЭЕУФЧП вЕМЩИ ыМСР РТЙЗМБЫБЕФ ЧУФХРЙФШ Ч УЧПЙ ТСДЩ МАДЕК Ч ВЕМЩИ РМБЭБИ!
¶ Team Lead Red Team
¶ Information Security Tech Lead (корпоративная инфраструктура)
¶ Information Security Tech Lead (Kubernetes & Cloud)
¶ Ведущий аналитик по информационной безопасности (Compliance)
¶ Руководитель службы информационной безопасности WB Банка (Compliance)
¶ SOC Analysts Tech Lead
¶ SOC Engineer
¶ SRE Engineer
¶ DevSecOps Engineer
#wbtech #wbsecurity #vacancy
¶ Team Lead Red Team
¶ Information Security Tech Lead (корпоративная инфраструктура)
¶ Information Security Tech Lead (Kubernetes & Cloud)
¶ Ведущий аналитик по информационной безопасности (Compliance)
¶ Руководитель службы информационной безопасности WB Банка (Compliance)
¶ SOC Analysts Tech Lead
¶ SOC Engineer
¶ SRE Engineer
¶ DevSecOps Engineer
#wbtech #wbsecurity #vacancy
Манго — это фрукты или бренд?
В апреле мы рассказывали, как устроен поиск Wildberries, а сейчас просто хотели напомнить о том, что за магией всегда стоят инженеры.
В команды Поиска и Каталога нужны golang-сеньоры и golang-помидоры, дата-инженеры и продуктовые аналитики. Без хороших девопсов тоже не обойтись.
Коротко о задаче: 1 млрд. поисковых запросов в сутки, 150 млн. документов и 300 мсек. на качественный релевантный ответ. А через год рост х2.
Осторожно, спойлер: никаких сфинксов и эластиков, все только свое, домашнее.
Присоединяйтесь *-)
#wbtech #vacancy
В апреле мы рассказывали, как устроен поиск Wildberries, а сейчас просто хотели напомнить о том, что за магией всегда стоят инженеры.
В команды Поиска и Каталога нужны golang-сеньоры и golang-помидоры, дата-инженеры и продуктовые аналитики. Без хороших девопсов тоже не обойтись.
Коротко о задаче: 1 млрд. поисковых запросов в сутки, 150 млн. документов и 300 мсек. на качественный релевантный ответ. А через год рост х2.
Осторожно, спойлер: никаких сфинксов и эластиков, все только свое, домашнее.
Присоединяйтесь *-)
#wbtech #vacancy
😎 Платим за обнаружение уязвимостей Wildberries. Жаль, что Кевин Митник не дожил
Такое уже было на двух Standoff Hacks, где мы выплатили больше 4 млн ₽ за поиск уязвимостей в закрытых программах.
А с 1 декабря запустили собственную багбаунти-программу на Standoff 365. Искать уязвимости можно на всех наших ресурсах: *.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru.
Самое большое вознаграждения за баги, найденные в основном скоупе — до 250 000 ₽. В него входят веб-версия и приложения маркетплейса и портала продавцов, сервис «Всем работа» и платежный шлюз (только веб), Balance Pay (только мобилки).
Остальные ресурсы включены в дополнительный скоуп и там максимальное вознаграждение в два раза меньше.
😲 Отдельный сценарий — взлом личного кабинета тестового продавца. Если тебе это удастся, получишь 500 000 ₽.
Больше информации — в программе по ссылке. Читай, изучай, ломай (верим в тебя!).
#wbsecurity #bugbounty
Такое уже было на двух Standoff Hacks, где мы выплатили больше 4 млн ₽ за поиск уязвимостей в закрытых программах.
А с 1 декабря запустили собственную багбаунти-программу на Standoff 365. Искать уязвимости можно на всех наших ресурсах: *.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru.
Самое большое вознаграждения за баги, найденные в основном скоупе — до 250 000 ₽. В него входят веб-версия и приложения маркетплейса и портала продавцов, сервис «Всем работа» и платежный шлюз (только веб), Balance Pay (только мобилки).
Остальные ресурсы включены в дополнительный скоуп и там максимальное вознаграждение в два раза меньше.
😲 Отдельный сценарий — взлом личного кабинета тестового продавца. Если тебе это удастся, получишь 500 000 ₽.
Больше информации — в программе по ссылке. Читай, изучай, ломай (верим в тебя!).
#wbsecurity #bugbounty
Как собрать контейнер и не облажаться вооружить хакера.
Атаки с использованием легитимных утилит (LotL-атаки) порой крайне сложно обнаружить. Злоумышленники заставляют совершать вредоносные действия даже такие популярные программы как 7z. В столкновении с ними многие стандартные инструменты детектирования становятся бессильны.
В своём докладе на последнем HighLoad++ директор по безопасности Wildberries Антон Жаболенко и тимлид команды DevSecOps Алексей Федулаев рассказывают, какими бывают LotL-атаки на примере контейнерных инфраструктур и как от них защититься.
#wbtech #wbsecurity #wbspeakers #highload
Атаки с использованием легитимных утилит (LotL-атаки) порой крайне сложно обнаружить. Злоумышленники заставляют совершать вредоносные действия даже такие популярные программы как 7z. В столкновении с ними многие стандартные инструменты детектирования становятся бессильны.
В своём докладе на последнем HighLoad++ директор по безопасности Wildberries Антон Жаболенко и тимлид команды DevSecOps Алексей Федулаев рассказывают, какими бывают LotL-атаки на примере контейнерных инфраструктур и как от них защититься.
#wbtech #wbsecurity #wbspeakers #highload
Идеальный наблюдатель на Swift
Олег Бахарев, тимлид iOS-разработки предается мечтательно‑философским размышлениям об идеальной реализации паттерна Observer в большой хабр-статье с кусками кода.
#wbtech #swift #ios #wbtech_habr
Олег Бахарев, тимлид iOS-разработки предается мечтательно‑философским размышлениям об идеальной реализации паттерна Observer в большой хабр-статье с кусками кода.
#wbtech #swift #ios #wbtech_habr
Идеальный REST-клиент для iOS
В подавляющем большинстве современных мобильных приложений используется сетевой обмен данными. В нашем представлении идеальный REST-клиент должен обеспечивать: сетевые запросы в одну строчку, асинхронность (с iOS 13.0), гибкость и компактность реализации.
Лонгрид с кусками кода от тимлида iOS-разработки Олега Бахарева, в котором он делится опытом построения идеального сетевого клиента для iOS.
#wbtech #swift #ios #wbtech_habr
В подавляющем большинстве современных мобильных приложений используется сетевой обмен данными. В нашем представлении идеальный REST-клиент должен обеспечивать: сетевые запросы в одну строчку, асинхронность (с iOS 13.0), гибкость и компактность реализации.
Лонгрид с кусками кода от тимлида iOS-разработки Олега Бахарева, в котором он делится опытом построения идеального сетевого клиента для iOS.
#wbtech #swift #ios #wbtech_habr
Open Source AppSec Review: как сделать приемку, внедрение и харденинг опенсорс-решения
Оперсорс стал неотъемлемой частью нашей жизни, двигая прогресс вперед и являясь порой безальтернативным вариантом. В любом продакшене есть опенсорс: от простой либы до Кубера с Постгресом.
Само собой, плохим парням здесь есть, где развернуться: начиная от атак на оперсорс-пакеты и заканчивая вредоносными коммитами в популярный софт под видом issues.
В своём докладе на последнем HighLoad++ тимлиды команд DevSecOps и автоматизации сервисов ИБ Алексей Федулаев и Лев Хакимов делятся чек-листом, который можно распечатать и повесить себе на стену, чтобы сверяться при внедрении нового опенсорс-продукта: обезопасились ли вы от того, что находится внутри.
#wbtech #wbsecurity #wbspeakers #highload #opensource
Оперсорс стал неотъемлемой частью нашей жизни, двигая прогресс вперед и являясь порой безальтернативным вариантом. В любом продакшене есть опенсорс: от простой либы до Кубера с Постгресом.
Само собой, плохим парням здесь есть, где развернуться: начиная от атак на оперсорс-пакеты и заканчивая вредоносными коммитами в популярный софт под видом issues.
В своём докладе на последнем HighLoad++ тимлиды команд DevSecOps и автоматизации сервисов ИБ Алексей Федулаев и Лев Хакимов делятся чек-листом, который можно распечатать и повесить себе на стену, чтобы сверяться при внедрении нового опенсорс-продукта: обезопасились ли вы от того, что находится внутри.
#wbtech #wbsecurity #wbspeakers #highload #opensource
HTML Embed Code: