Собрались в очередной раз на мозговой штурм, чтобы в очередной раз сделать мир лучше.
🔥30❤11🥰4😁3🤩2
На днях подкаст SafeCode Live собрал в прямом эфире классных гостей: наши ИБ-шники Алексей Федулаев и Лев Хакимов, Даниил Сигалов из SolidSoft обсудили спортивные состязания хакеров в формате Capture the Flag (CTF).
Поговорили про защиту и нападение, мифические и реальные уязвимости в продукте, и о том, как их находить и как от них защититься: attack-defense и task-based (jeopardy) — что это и зачем, и можно ли зарабатывать на поиске уязвимостей.
Обсудили разные виды соревнований: Standoff, Attack-Defense, Polygon, Bull’s Eye, VSFI;
Разобрали пример типового захвата флага, и какие могут быть задачи в процессе (криптография, фронтенд, бэкенд, хранилища данных, алгоритмы, реверс-инжиниринг), и как CTF помогает лучше понять пентесты и реверс-инжиниринг.
В общем, приятного просмотра.
#wbtech #wbsecurity #wbspeakers
Поговорили про защиту и нападение, мифические и реальные уязвимости в продукте, и о том, как их находить и как от них защититься: attack-defense и task-based (jeopardy) — что это и зачем, и можно ли зарабатывать на поиске уязвимостей.
Обсудили разные виды соревнований: Standoff, Attack-Defense, Polygon, Bull’s Eye, VSFI;
Разобрали пример типового захвата флага, и какие могут быть задачи в процессе (криптография, фронтенд, бэкенд, хранилища данных, алгоритмы, реверс-инжиниринг), и как CTF помогает лучше понять пентесты и реверс-инжиниринг.
В общем, приятного просмотра.
#wbtech #wbsecurity #wbspeakers
❤14👍6🔥5
Будете на DevOooooooooops, забегайте к нам на огонек!
Круглый стол «Безопасность: консультативная vs запрещающая» с Антоном Жаболенко (Wildberries), Дмитрием Евдокимовым (Luntry) и Александром Каледой (Яндекс).
Сравним консультативный и запрещающий подходы, выявим плюсы и минусы каждого, рассмотрим риски и сложности, которые ждут на каждом из путей.
Ведущий: Алексей Федулаев (Wildberries).
#wbtech #wbsecurity #devoops #wbspeakers
Круглый стол «Безопасность: консультативная vs запрещающая» с Антоном Жаболенко (Wildberries), Дмитрием Евдокимовым (Luntry) и Александром Каледой (Яндекс).
Сравним консультативный и запрещающий подходы, выявим плюсы и минусы каждого, рассмотрим риски и сложности, которые ждут на каждом из путей.
Ведущий: Алексей Федулаев (Wildberries).
#wbtech #wbsecurity #devoops #wbspeakers
🔥15❤7👍7
Собираем карьеру: Security Operation Centre
Портал Global Digital Space взял интервью у Ивана Дьячкова, руководителя центра информационной безопасности Wildberries.
Получился теплый ламповый подкаст о том, как эникею пересечь третью линию: как выбрать специализацию ИБ по душе, какими знаниями нужно обладать и сколько времени потребуется на то, чтобы стать руководителем в сфере информационной безопасности.
Ведущий: Лев Палей (Вебмониторэкс).
#wbtech #wbsecurity #wbspeakers
PS. Если хотите к Ване в команду, то вот они, вакансии:
— SOC Analysts Tech Lead
— SOC Engineer
Портал Global Digital Space взял интервью у Ивана Дьячкова, руководителя центра информационной безопасности Wildberries.
Получился теплый ламповый подкаст о том, как эникею пересечь третью линию: как выбрать специализацию ИБ по душе, какими знаниями нужно обладать и сколько времени потребуется на то, чтобы стать руководителем в сфере информационной безопасности.
Ведущий: Лев Палей (Вебмониторэкс).
#wbtech #wbsecurity #wbspeakers
PS. Если хотите к Ване в команду, то вот они, вакансии:
— SOC Analysts Tech Lead
— SOC Engineer
🔥16❤7🥰6👍4
пВЭЕУФЧП вЕМЩИ ыМСР РТЙЗМБЫБЕФ ЧУФХРЙФШ Ч УЧПЙ ТСДЩ МАДЕК Ч ВЕМЩИ РМБЭБИ!
¶ Team Lead Red Team
¶ Information Security Tech Lead (корпоративная инфраструктура)
¶ Information Security Tech Lead (Kubernetes & Cloud)
¶ Ведущий аналитик по информационной безопасности (Compliance)
¶ Руководитель службы информационной безопасности WB Банка (Compliance)
¶ SOC Analysts Tech Lead
¶ SOC Engineer
¶ SRE Engineer
¶ DevSecOps Engineer
#wbtech #wbsecurity #vacancy
¶ Team Lead Red Team
¶ Information Security Tech Lead (корпоративная инфраструктура)
¶ Information Security Tech Lead (Kubernetes & Cloud)
¶ Ведущий аналитик по информационной безопасности (Compliance)
¶ Руководитель службы информационной безопасности WB Банка (Compliance)
¶ SOC Analysts Tech Lead
¶ SOC Engineer
¶ SRE Engineer
¶ DevSecOps Engineer
#wbtech #wbsecurity #vacancy
🔥16👍14😁11❤7🥰3
Манго — это фрукты или бренд?
В апреле мы рассказывали, как устроен поиск Wildberries, а сейчас просто хотели напомнить о том, что за магией всегда стоят инженеры.
В команды Поиска и Каталога нужны golang-сеньоры и golang-помидоры, дата-инженеры и продуктовые аналитики. Без хороших девопсов тоже не обойтись.
Коротко о задаче: 1 млрд. поисковых запросов в сутки, 150 млн. документов и 300 мсек. на качественный релевантный ответ. А через год рост х2.
Осторожно, спойлер: никаких сфинксов и эластиков, все только свое, домашнее.
Присоединяйтесь *-)
#wbtech #vacancy
В апреле мы рассказывали, как устроен поиск Wildberries, а сейчас просто хотели напомнить о том, что за магией всегда стоят инженеры.
В команды Поиска и Каталога нужны golang-сеньоры и golang-помидоры, дата-инженеры и продуктовые аналитики. Без хороших девопсов тоже не обойтись.
Коротко о задаче: 1 млрд. поисковых запросов в сутки, 150 млн. документов и 300 мсек. на качественный релевантный ответ. А через год рост х2.
Осторожно, спойлер: никаких сфинксов и эластиков, все только свое, домашнее.
Присоединяйтесь *-)
#wbtech #vacancy
🔥27😁14❤13👍5
😎 Платим за обнаружение уязвимостей Wildberries. Жаль, что Кевин Митник не дожил
Такое уже было на двух Standoff Hacks, где мы выплатили больше 4 млн ₽ за поиск уязвимостей в закрытых программах.
А с 1 декабря запустили собственную багбаунти-программу на Standoff 365. Искать уязвимости можно на всех наших ресурсах: *.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru.
Самое большое вознаграждения за баги, найденные в основном скоупе — до 250 000 ₽. В него входят веб-версия и приложения маркетплейса и портала продавцов, сервис «Всем работа» и платежный шлюз (только веб), Balance Pay (только мобилки).
Остальные ресурсы включены в дополнительный скоуп и там максимальное вознаграждение в два раза меньше.
😲 Отдельный сценарий — взлом личного кабинета тестового продавца. Если тебе это удастся, получишь 500 000 ₽.
Больше информации — в программе по ссылке. Читай, изучай, ломай (верим в тебя!).
#wbsecurity #bugbounty
Такое уже было на двух Standoff Hacks, где мы выплатили больше 4 млн ₽ за поиск уязвимостей в закрытых программах.
А с 1 декабря запустили собственную багбаунти-программу на Standoff 365. Искать уязвимости можно на всех наших ресурсах: *.wildberries.ru, *.wb.ru, *.paywb.com, *.paywb.ru, *.wb-bank.ru.
Самое большое вознаграждения за баги, найденные в основном скоупе — до 250 000 ₽. В него входят веб-версия и приложения маркетплейса и портала продавцов, сервис «Всем работа» и платежный шлюз (только веб), Balance Pay (только мобилки).
Остальные ресурсы включены в дополнительный скоуп и там максимальное вознаграждение в два раза меньше.
😲 Отдельный сценарий — взлом личного кабинета тестового продавца. Если тебе это удастся, получишь 500 000 ₽.
Больше информации — в программе по ссылке. Читай, изучай, ломай (верим в тебя!).
#wbsecurity #bugbounty
👍31❤9🔥6😁3
Как собрать контейнер и не облажаться вооружить хакера.
Атаки с использованием легитимных утилит (LotL-атаки) порой крайне сложно обнаружить. Злоумышленники заставляют совершать вредоносные действия даже такие популярные программы как 7z. В столкновении с ними многие стандартные инструменты детектирования становятся бессильны.
В своём докладе на последнем HighLoad++ директор по безопасности Wildberries Антон Жаболенко и тимлид команды DevSecOps Алексей Федулаев рассказывают, какими бывают LotL-атаки на примере контейнерных инфраструктур и как от них защититься.
#wbtech #wbsecurity #wbspeakers #highload
Атаки с использованием легитимных утилит (LotL-атаки) порой крайне сложно обнаружить. Злоумышленники заставляют совершать вредоносные действия даже такие популярные программы как 7z. В столкновении с ними многие стандартные инструменты детектирования становятся бессильны.
В своём докладе на последнем HighLoad++ директор по безопасности Wildberries Антон Жаболенко и тимлид команды DevSecOps Алексей Федулаев рассказывают, какими бывают LotL-атаки на примере контейнерных инфраструктур и как от них защититься.
#wbtech #wbsecurity #wbspeakers #highload
👍17👏11❤10🔥8😁2
Fuzzing-тестирование. Практическое применение | Никита Догаев, лид команды контента на портале продавцов Wildberries
Никита работает на позиции лида команды контента в портале продавцов Wildberries и каждый день сталкивается с тем, как сотни тысяч продавцов из разных стран испытывают карточку товара на прочность.
Одна из основных задач команды контента — разработка и поддержка сервиса API для работы с карточками товаров. Не менее важной задачей является обработка текстового контента: вариация и нормализация. Работа всего маркетплейса невозможна без надежной интеграции мастер-системы с другими сервисами-потребителями данных.
В своем докладе на GolangConf Никита Догаев делится опытом применения фаззинга: от генерации текстов на армянском языке до тестировании SQL-запросов; можно ли использовать фаззер и unit-тестирование бок о бок, и какие баги удалось найти.
PS. Про нагрузочное тестирование тоже не забыли.
#wbtech #golang #wbspeakers #highload #golangconf
Фаззинг — это метод тестирования ПО, заключающийся в передаче приложению случайных неожиданных и некорректных данных. Хорошо применим там, где код сложен и физически невозможно (или программисты поленились, хе-хе) покрыть юнит-тестами все вариации входных параметров. Особенно актуально в ситуациях, когда «апишечка открыта наружу» и появляется +1 повод ее заддосить ;-)
Никита работает на позиции лида команды контента в портале продавцов Wildberries и каждый день сталкивается с тем, как сотни тысяч продавцов из разных стран испытывают карточку товара на прочность.
Одна из основных задач команды контента — разработка и поддержка сервиса API для работы с карточками товаров. Не менее важной задачей является обработка текстового контента: вариация и нормализация. Работа всего маркетплейса невозможна без надежной интеграции мастер-системы с другими сервисами-потребителями данных.
В своем докладе на GolangConf Никита Догаев делится опытом применения фаззинга: от генерации текстов на армянском языке до тестировании SQL-запросов; можно ли использовать фаззер и unit-тестирование бок о бок, и какие баги удалось найти.
PS. Про нагрузочное тестирование тоже не забыли.
#wbtech #golang #wbspeakers #highload #golangconf
👍27🔥18❤12😁2
Идеальный наблюдатель на Swift
Олег Бахарев, тимлид iOS-разработки предается мечтательно‑философским размышлениям об идеальной реализации паттерна Observer в большой хабр-статье с кусками кода.
#wbtech #swift #ios #wbtech_habr
Олег Бахарев, тимлид iOS-разработки предается мечтательно‑философским размышлениям об идеальной реализации паттерна Observer в большой хабр-статье с кусками кода.
#wbtech #swift #ios #wbtech_habr
👍26❤7🔥4
Идеальный REST-клиент для iOS
В подавляющем большинстве современных мобильных приложений используется сетевой обмен данными. В нашем представлении идеальный REST-клиент должен обеспечивать: сетевые запросы в одну строчку, асинхронность (с iOS 13.0), гибкость и компактность реализации.
Лонгрид с кусками кода от тимлида iOS-разработки Олега Бахарева, в котором он делится опытом построения идеального сетевого клиента для iOS.
#wbtech #swift #ios #wbtech_habr
В подавляющем большинстве современных мобильных приложений используется сетевой обмен данными. В нашем представлении идеальный REST-клиент должен обеспечивать: сетевые запросы в одну строчку, асинхронность (с iOS 13.0), гибкость и компактность реализации.
Лонгрид с кусками кода от тимлида iOS-разработки Олега Бахарева, в котором он делится опытом построения идеального сетевого клиента для iOS.
#wbtech #swift #ios #wbtech_habr
👍16❤6🥰3👏1
Программирование для GPU и AR/VR-разработка под visionOS и Android на митапе в Южном ИТ_парке
У нас есть супергерой! И мы зовем его «Человек-митап».
Это почти как Человек-паук или Бэтмен, только еще круче: он может приехать в ваш город и в одиночку выступить сразу с несколькими докладами:
«Программирование для GPU: Vulkan, Metal, шейдеры»
• GPU стек, отличия от обычного программирования
• Почему растет спрос на разработчиков под GPU?
• OpenGL, Vulkan и Metal API сравнение
• Кейсы использования шейдеров
«AR/VR-разработка под visionOS и Android»
• AR/VR-девайсы скоро заменят смартфоны: анализ индустрии
• Демо/лайв AR-библиотек
• Кейсы для VR-приложений
• Демо visionOS сравнение с Oculus
Тонна информации и даже лайвкодинг с перерывом на хороший крепкий кофе.
В роли Человек-митапа – Ексей Пантелеев,
Android Team Lead, Wildberries
Когда: 1 февраля 2024, с 18:30.
Где: в Южном ИТ-парке (г. Ростов-на-Дону, ул. Города Волос, 14, 2 этаж).
Стульев и пуфиков может не хватить, поторопитесь с регистрацией.
PS. Если будете смотреть трансляцию, можно не регистрироваться. Ссылку на трансляцию опубликуем в канале день в день.
#wbtech #wbspeakers #wbmeetups #southitpark
У нас есть супергерой! И мы зовем его «Человек-митап».
Это почти как Человек-паук или Бэтмен, только еще круче: он может приехать в ваш город и в одиночку выступить сразу с несколькими докладами:
«Программирование для GPU: Vulkan, Metal, шейдеры»
• GPU стек, отличия от обычного программирования
• Почему растет спрос на разработчиков под GPU?
• OpenGL, Vulkan и Metal API сравнение
• Кейсы использования шейдеров
«AR/VR-разработка под visionOS и Android»
• AR/VR-девайсы скоро заменят смартфоны: анализ индустрии
• Демо/лайв AR-библиотек
• Кейсы для VR-приложений
• Демо visionOS сравнение с Oculus
Тонна информации и даже лайвкодинг с перерывом на хороший крепкий кофе.
В роли Человек-митапа – Ексей Пантелеев,
Android Team Lead, Wildberries
Пишет код с 2002 года. Участвовал в десятках крупных и сложных проектах в ведущих IT-компаниях страны – «Тинькофф Банк», VK/Мail.ru, «Мой Офис», «Лента». Преподает iOS/Swift 10 лет, обучил более 1500 успешных студентов.
Когда: 1 февраля 2024, с 18:30.
Где: в Южном ИТ-парке (г. Ростов-на-Дону, ул. Города Волос, 14, 2 этаж).
Стульев и пуфиков может не хватить, поторопитесь с регистрацией.
PS. Если будете смотреть трансляцию, можно не регистрироваться. Ссылку на трансляцию опубликуем в канале день в день.
#wbtech #wbspeakers #wbmeetups #southitpark
🔥18👍10❤6🥰5
Open Source AppSec Review: как сделать приемку, внедрение и харденинг опенсорс-решения
Оперсорс стал неотъемлемой частью нашей жизни, двигая прогресс вперед и являясь порой безальтернативным вариантом. В любом продакшене есть опенсорс: от простой либы до Кубера с Постгресом.
Само собой, плохим парням здесь есть, где развернуться: начиная от атак на оперсорс-пакеты и заканчивая вредоносными коммитами в популярный софт под видом issues.
В своём докладе на последнем HighLoad++ тимлиды команд DevSecOps и автоматизации сервисов ИБ Алексей Федулаев и Лев Хакимов делятся чек-листом, который можно распечатать и повесить себе на стену, чтобы сверяться при внедрении нового опенсорс-продукта: обезопасились ли вы от того, что находится внутри.
#wbtech #wbsecurity #wbspeakers #highload #opensource
Оперсорс стал неотъемлемой частью нашей жизни, двигая прогресс вперед и являясь порой безальтернативным вариантом. В любом продакшене есть опенсорс: от простой либы до Кубера с Постгресом.
Само собой, плохим парням здесь есть, где развернуться: начиная от атак на оперсорс-пакеты и заканчивая вредоносными коммитами в популярный софт под видом issues.
В своём докладе на последнем HighLoad++ тимлиды команд DevSecOps и автоматизации сервисов ИБ Алексей Федулаев и Лев Хакимов делятся чек-листом, который можно распечатать и повесить себе на стену, чтобы сверяться при внедрении нового опенсорс-продукта: обезопасились ли вы от того, что находится внутри.
#wbtech #wbsecurity #wbspeakers #highload #opensource
👍20❤4🔥3🥰2
Падам-пумс!
Через 10 минут Android-тимлид Wildberries Ексей Пантелеев стартует с двумя докладами на GPU AR/VR-митапе в Южном ИТ_Парке:
— «Программирование для GPU: Vulkan, Metal, шейдеры»
— «AR/VR-разработка под visionOS и Android»
Пишите вопросы спикеру прямо в этом топике — мы передадим.
Подключайтесь к трансляции👈
#south_gpu_arvr_meetup #wbtech #wbspeakers #wbmeetups #southitpark
🖤❤️🤍
Через 10 минут Android-тимлид Wildberries Ексей Пантелеев стартует с двумя докладами на GPU AR/VR-митапе в Южном ИТ_Парке:
— «Программирование для GPU: Vulkan, Metal, шейдеры»
— «AR/VR-разработка под visionOS и Android»
Пишите вопросы спикеру прямо в этом топике — мы передадим.
Подключайтесь к трансляции
#south_gpu_arvr_meetup #wbtech #wbspeakers #wbmeetups #southitpark
🖤❤️🤍
Please open Telegram to view this post
VIEW IN TELEGRAM
❤19👍16🥰3🔥2🤩2
«Не делайте так!» — ИБ-специалисты Wildberries о взломах личных кабинетов и грязной конкуренции среди продавцов
Какие чувствительные данные пользователей хранит маркетплейс, и возможна ли их утечка, fingerprint и сессионный антифрод, сколько ИБ-шников работают в Wildberries, и как защититься от них самих, Privileged Access Management (PAM) и Security Operation Center (SOC), passwordless и аппаратные токены, багбаунти и популярные типы атак, продавцы и фишинг, шифровальщик на основе 7zip и как поднять привелегии через утилиту less.
Обо всем этом и не только — Алексей Федулаев и Антон Жаболенко в теплом ламповом подкасте (там действительно есть лампа!) у Котелова.
Аудиодорожка на mave.
PS. На острые вопросы про падение WB и списания с карт тоже ответили ;-)
#wbtech #wbsecurity #wbspeakers #wbpodcast
Какие чувствительные данные пользователей хранит маркетплейс, и возможна ли их утечка, fingerprint и сессионный антифрод, сколько ИБ-шников работают в Wildberries, и как защититься от них самих, Privileged Access Management (PAM) и Security Operation Center (SOC), passwordless и аппаратные токены, багбаунти и популярные типы атак, продавцы и фишинг, шифровальщик на основе 7zip и как поднять привелегии через утилиту less.
Обо всем этом и не только — Алексей Федулаев и Антон Жаболенко в теплом ламповом подкасте (там действительно есть лампа!) у Котелова.
Аудиодорожка на mave.
PS. На острые вопросы про падение WB и списания с карт тоже ответили ;-)
#wbtech #wbsecurity #wbspeakers #wbpodcast
👍22❤8🥰8🔥5🤩1
ЦОД Wildberries без охлаждения и смс
Помните, Егор Карицкий рассказывал, как мы построили ЦОД без охлаждения?
Прямой фрикулинг и никаких кондиционеров, чиллеров, испарителей и других сложных агрегатов. Спроектировали и построили в 2-3 раза дешевле и эффективнее, чем обычные дата-центры.
Строим второй такой же в Дубне, ищем место под третий. Словом делаем все для того, чтобы вы могли спокойно заказывать товары на своем любимом маркетплейсе.
А для наглядности сняли небольшой ролик о том, как выглядит наш центр обработки данных.
#wbtech #wb_infrastructure
Помните, Егор Карицкий рассказывал, как мы построили ЦОД без охлаждения?
Прямой фрикулинг и никаких кондиционеров, чиллеров, испарителей и других сложных агрегатов. Спроектировали и построили в 2-3 раза дешевле и эффективнее, чем обычные дата-центры.
Строим второй такой же в Дубне, ищем место под третий. Словом делаем все для того, чтобы вы могли спокойно заказывать товары на своем любимом маркетплейсе.
А для наглядности сняли небольшой ролик о том, как выглядит наш центр обработки данных.
#wbtech #wb_infrastructure
👍34❤12🔥9🥰2🤩2