Forwarded from Standoff 365
This media is not supported in your browser
VIEW IN TELEGRAM
В безопасных ли руках посылки Wildberries — проверят багхантеры на Standoff Hacks в Сочи, который пройдет уже с 11 по 14 августа!
До ивента мы решили заглянуть в пункт выдачи Wildberries, чтобы узнать, как работают их умные замки, которые используют водители и курьеры, чтобы попасть внутрь ПВЗ ночью. Подробности — в нашем видео.
Исследователи смогут потрогать замок руками и попытаться взломать его интерфейс, приложение для открытия и бэкенд-сервисы.
Будем делиться самым главным с priv8-ивента в нашем канале😍
До ивента мы решили заглянуть в пункт выдачи Wildberries, чтобы узнать, как работают их умные замки, которые используют водители и курьеры, чтобы попасть внутрь ПВЗ ночью. Подробности — в нашем видео.
Исследователи смогут потрогать замок руками и попытаться взломать его интерфейс, приложение для открытия и бэкенд-сервисы.
Будем делиться самым главным с priv8-ивента в нашем канале
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20❤16🔥10
«Быстрый как C++, кроссплатформенный и многопоточный как Java, простой как JS» — да, это про Golang. Используем его в десятках проектов и очень довольны ;-)
Курс gogo-стажера поможет влиться в наши интересные и сложные задачи.
Техноронины, записывайтесь.
#wbtech #vacancy
Курс gogo-стажера поможет влиться в наши интересные и сложные задачи.
Техноронины, записывайтесь.
#wbtech #vacancy
👍11😁10❤9
Предложите более оптимальный вариант кода:
Это JavaScript, если что 😉
function sumToN(n) {
if (n == 1) return 1;
return n + sumToN(n - 1);
}
sumToN(9999999);
Это JavaScript, если что 😉
❤8😁5👍3
Собрались в очередной раз на мозговой штурм, чтобы в очередной раз сделать мир лучше.
🔥30❤11🥰4😁3🤩2
На днях подкаст SafeCode Live собрал в прямом эфире классных гостей: наши ИБ-шники Алексей Федулаев и Лев Хакимов, Даниил Сигалов из SolidSoft обсудили спортивные состязания хакеров в формате Capture the Flag (CTF).
Поговорили про защиту и нападение, мифические и реальные уязвимости в продукте, и о том, как их находить и как от них защититься: attack-defense и task-based (jeopardy) — что это и зачем, и можно ли зарабатывать на поиске уязвимостей.
Обсудили разные виды соревнований: Standoff, Attack-Defense, Polygon, Bull’s Eye, VSFI;
Разобрали пример типового захвата флага, и какие могут быть задачи в процессе (криптография, фронтенд, бэкенд, хранилища данных, алгоритмы, реверс-инжиниринг), и как CTF помогает лучше понять пентесты и реверс-инжиниринг.
В общем, приятного просмотра.
#wbtech #wbsecurity #wbspeakers
Поговорили про защиту и нападение, мифические и реальные уязвимости в продукте, и о том, как их находить и как от них защититься: attack-defense и task-based (jeopardy) — что это и зачем, и можно ли зарабатывать на поиске уязвимостей.
Обсудили разные виды соревнований: Standoff, Attack-Defense, Polygon, Bull’s Eye, VSFI;
Разобрали пример типового захвата флага, и какие могут быть задачи в процессе (криптография, фронтенд, бэкенд, хранилища данных, алгоритмы, реверс-инжиниринг), и как CTF помогает лучше понять пентесты и реверс-инжиниринг.
В общем, приятного просмотра.
#wbtech #wbsecurity #wbspeakers
❤14👍6🔥5
Будете на DevOooooooooops, забегайте к нам на огонек!
Круглый стол «Безопасность: консультативная vs запрещающая» с Антоном Жаболенко (Wildberries), Дмитрием Евдокимовым (Luntry) и Александром Каледой (Яндекс).
Сравним консультативный и запрещающий подходы, выявим плюсы и минусы каждого, рассмотрим риски и сложности, которые ждут на каждом из путей.
Ведущий: Алексей Федулаев (Wildberries).
#wbtech #wbsecurity #devoops #wbspeakers
Круглый стол «Безопасность: консультативная vs запрещающая» с Антоном Жаболенко (Wildberries), Дмитрием Евдокимовым (Luntry) и Александром Каледой (Яндекс).
Сравним консультативный и запрещающий подходы, выявим плюсы и минусы каждого, рассмотрим риски и сложности, которые ждут на каждом из путей.
Ведущий: Алексей Федулаев (Wildberries).
#wbtech #wbsecurity #devoops #wbspeakers
🔥15❤7👍7
Собираем карьеру: Security Operation Centre
Портал Global Digital Space взял интервью у Ивана Дьячкова, руководителя центра информационной безопасности Wildberries.
Получился теплый ламповый подкаст о том, как эникею пересечь третью линию: как выбрать специализацию ИБ по душе, какими знаниями нужно обладать и сколько времени потребуется на то, чтобы стать руководителем в сфере информационной безопасности.
Ведущий: Лев Палей (Вебмониторэкс).
#wbtech #wbsecurity #wbspeakers
PS. Если хотите к Ване в команду, то вот они, вакансии:
— SOC Analysts Tech Lead
— SOC Engineer
Портал Global Digital Space взял интервью у Ивана Дьячкова, руководителя центра информационной безопасности Wildberries.
Получился теплый ламповый подкаст о том, как эникею пересечь третью линию: как выбрать специализацию ИБ по душе, какими знаниями нужно обладать и сколько времени потребуется на то, чтобы стать руководителем в сфере информационной безопасности.
Ведущий: Лев Палей (Вебмониторэкс).
#wbtech #wbsecurity #wbspeakers
PS. Если хотите к Ване в команду, то вот они, вакансии:
— SOC Analysts Tech Lead
— SOC Engineer
🔥16❤7🥰6👍4
пВЭЕУФЧП вЕМЩИ ыМСР РТЙЗМБЫБЕФ ЧУФХРЙФШ Ч УЧПЙ ТСДЩ МАДЕК Ч ВЕМЩИ РМБЭБИ!
¶ Team Lead Red Team
¶ Information Security Tech Lead (корпоративная инфраструктура)
¶ Information Security Tech Lead (Kubernetes & Cloud)
¶ Ведущий аналитик по информационной безопасности (Compliance)
¶ Руководитель службы информационной безопасности WB Банка (Compliance)
¶ SOC Analysts Tech Lead
¶ SOC Engineer
¶ SRE Engineer
¶ DevSecOps Engineer
#wbtech #wbsecurity #vacancy
¶ Team Lead Red Team
¶ Information Security Tech Lead (корпоративная инфраструктура)
¶ Information Security Tech Lead (Kubernetes & Cloud)
¶ Ведущий аналитик по информационной безопасности (Compliance)
¶ Руководитель службы информационной безопасности WB Банка (Compliance)
¶ SOC Analysts Tech Lead
¶ SOC Engineer
¶ SRE Engineer
¶ DevSecOps Engineer
#wbtech #wbsecurity #vacancy
🔥16👍14😁11❤7🥰3
Манго — это фрукты или бренд?
В апреле мы рассказывали, как устроен поиск Wildberries, а сейчас просто хотели напомнить о том, что за магией всегда стоят инженеры.
В команды Поиска и Каталога нужны golang-сеньоры и golang-помидоры, дата-инженеры и продуктовые аналитики. Без хороших девопсов тоже не обойтись.
Коротко о задаче: 1 млрд. поисковых запросов в сутки, 150 млн. документов и 300 мсек. на качественный релевантный ответ. А через год рост х2.
Осторожно, спойлер: никаких сфинксов и эластиков, все только свое, домашнее.
Присоединяйтесь *-)
#wbtech #vacancy
В апреле мы рассказывали, как устроен поиск Wildberries, а сейчас просто хотели напомнить о том, что за магией всегда стоят инженеры.
В команды Поиска и Каталога нужны golang-сеньоры и golang-помидоры, дата-инженеры и продуктовые аналитики. Без хороших девопсов тоже не обойтись.
Коротко о задаче: 1 млрд. поисковых запросов в сутки, 150 млн. документов и 300 мсек. на качественный релевантный ответ. А через год рост х2.
Осторожно, спойлер: никаких сфинксов и эластиков, все только свое, домашнее.
Присоединяйтесь *-)
#wbtech #vacancy
🔥27😁14❤13👍5
😎 Платим за обнаружение уязвимостей Wildberries. Жаль, что Кевин Митник не дожил
Такое уже было на двух Standoff Hacks, где мы выплатили больше 4 млн ₽ за поиск уязвимостей в закрытых программах.
А с 1 декабря запустили собственную багбаунти-программу на Standoff 365. Искать уязвимости можно на всех наших ресурсах: *.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru.
Самое большое вознаграждения за баги, найденные в основном скоупе — до 250 000 ₽. В него входят веб-версия и приложения маркетплейса и портала продавцов, сервис «Всем работа» и платежный шлюз (только веб), Balance Pay (только мобилки).
Остальные ресурсы включены в дополнительный скоуп и там максимальное вознаграждение в два раза меньше.
😲 Отдельный сценарий — взлом личного кабинета тестового продавца. Если тебе это удастся, получишь 500 000 ₽.
Больше информации — в программе по ссылке. Читай, изучай, ломай (верим в тебя!).
#wbsecurity #bugbounty
Такое уже было на двух Standoff Hacks, где мы выплатили больше 4 млн ₽ за поиск уязвимостей в закрытых программах.
А с 1 декабря запустили собственную багбаунти-программу на Standoff 365. Искать уязвимости можно на всех наших ресурсах: *.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru.
Самое большое вознаграждения за баги, найденные в основном скоупе — до 250 000 ₽. В него входят веб-версия и приложения маркетплейса и портала продавцов, сервис «Всем работа» и платежный шлюз (только веб), Balance Pay (только мобилки).
Остальные ресурсы включены в дополнительный скоуп и там максимальное вознаграждение в два раза меньше.
😲 Отдельный сценарий — взлом личного кабинета тестового продавца. Если тебе это удастся, получишь 500 000 ₽.
Больше информации — в программе по ссылке. Читай, изучай, ломай (верим в тебя!).
#wbsecurity #bugbounty
👍31❤9🔥6😁3
Как собрать контейнер и не облажаться вооружить хакера.
Атаки с использованием легитимных утилит (LotL-атаки) порой крайне сложно обнаружить. Злоумышленники заставляют совершать вредоносные действия даже такие популярные программы как 7z. В столкновении с ними многие стандартные инструменты детектирования становятся бессильны.
В своём докладе на последнем HighLoad++ директор по безопасности Wildberries Антон Жаболенко и тимлид команды DevSecOps Алексей Федулаев рассказывают, какими бывают LotL-атаки на примере контейнерных инфраструктур и как от них защититься.
#wbtech #wbsecurity #wbspeakers #highload
Атаки с использованием легитимных утилит (LotL-атаки) порой крайне сложно обнаружить. Злоумышленники заставляют совершать вредоносные действия даже такие популярные программы как 7z. В столкновении с ними многие стандартные инструменты детектирования становятся бессильны.
В своём докладе на последнем HighLoad++ директор по безопасности Wildberries Антон Жаболенко и тимлид команды DevSecOps Алексей Федулаев рассказывают, какими бывают LotL-атаки на примере контейнерных инфраструктур и как от них защититься.
#wbtech #wbsecurity #wbspeakers #highload
👍17👏11❤10🔥8😁2
Fuzzing-тестирование. Практическое применение | Никита Догаев, лид команды контента на портале продавцов Wildberries
Никита работает на позиции лида команды контента в портале продавцов Wildberries и каждый день сталкивается с тем, как сотни тысяч продавцов из разных стран испытывают карточку товара на прочность.
Одна из основных задач команды контента — разработка и поддержка сервиса API для работы с карточками товаров. Не менее важной задачей является обработка текстового контента: вариация и нормализация. Работа всего маркетплейса невозможна без надежной интеграции мастер-системы с другими сервисами-потребителями данных.
В своем докладе на GolangConf Никита Догаев делится опытом применения фаззинга: от генерации текстов на армянском языке до тестировании SQL-запросов; можно ли использовать фаззер и unit-тестирование бок о бок, и какие баги удалось найти.
PS. Про нагрузочное тестирование тоже не забыли.
#wbtech #golang #wbspeakers #highload #golangconf
Фаззинг — это метод тестирования ПО, заключающийся в передаче приложению случайных неожиданных и некорректных данных. Хорошо применим там, где код сложен и физически невозможно (или программисты поленились, хе-хе) покрыть юнит-тестами все вариации входных параметров. Особенно актуально в ситуациях, когда «апишечка открыта наружу» и появляется +1 повод ее заддосить ;-)
Никита работает на позиции лида команды контента в портале продавцов Wildberries и каждый день сталкивается с тем, как сотни тысяч продавцов из разных стран испытывают карточку товара на прочность.
Одна из основных задач команды контента — разработка и поддержка сервиса API для работы с карточками товаров. Не менее важной задачей является обработка текстового контента: вариация и нормализация. Работа всего маркетплейса невозможна без надежной интеграции мастер-системы с другими сервисами-потребителями данных.
В своем докладе на GolangConf Никита Догаев делится опытом применения фаззинга: от генерации текстов на армянском языке до тестировании SQL-запросов; можно ли использовать фаззер и unit-тестирование бок о бок, и какие баги удалось найти.
PS. Про нагрузочное тестирование тоже не забыли.
#wbtech #golang #wbspeakers #highload #golangconf
👍27🔥18❤12😁2
Идеальный наблюдатель на Swift
Олег Бахарев, тимлид iOS-разработки предается мечтательно‑философским размышлениям об идеальной реализации паттерна Observer в большой хабр-статье с кусками кода.
#wbtech #swift #ios #wbtech_habr
Олег Бахарев, тимлид iOS-разработки предается мечтательно‑философским размышлениям об идеальной реализации паттерна Observer в большой хабр-статье с кусками кода.
#wbtech #swift #ios #wbtech_habr
👍26❤7🔥4
Идеальный REST-клиент для iOS
В подавляющем большинстве современных мобильных приложений используется сетевой обмен данными. В нашем представлении идеальный REST-клиент должен обеспечивать: сетевые запросы в одну строчку, асинхронность (с iOS 13.0), гибкость и компактность реализации.
Лонгрид с кусками кода от тимлида iOS-разработки Олега Бахарева, в котором он делится опытом построения идеального сетевого клиента для iOS.
#wbtech #swift #ios #wbtech_habr
В подавляющем большинстве современных мобильных приложений используется сетевой обмен данными. В нашем представлении идеальный REST-клиент должен обеспечивать: сетевые запросы в одну строчку, асинхронность (с iOS 13.0), гибкость и компактность реализации.
Лонгрид с кусками кода от тимлида iOS-разработки Олега Бахарева, в котором он делится опытом построения идеального сетевого клиента для iOS.
#wbtech #swift #ios #wbtech_habr
👍16❤6🥰3👏1