appsec – Application Security vs Testing Penetration

من برخی از تجربه در توسعه نرم افزار، برخی از تجربه با اسکریپت و تجربه اولیه در devops (Sysadmin، زمینه های شبکه). اخیرا کار حرفه ای در امنیت (تحلیلگر امنیتی) را آغاز کرده ام. من فکر کرده ام که می خواهم فقط در برخی زمینه های امنیتی تخصص داشته باشم. من اعتقاد دارم که مناسب ترین برای من امنیت امنیت نرم افزار است، یا آزمایش نفوذ

چگونه باید بدانم که باید چه کسی را انتخاب کنم بدون اینکه برای مدت زمان طولانی در هر یک از آنها کار کنم؟ به عنوان مثال، من علاقه مند به دانش مورد نیاز، مسیر شغلی، بازار کار، کارمند و مشاوره، تعادل کار و زندگی، و محدوده حقوق و دستمزد هستم. چه فاکتورهایی باید در نظر بگیرم و چه اهمیتی در هنگام تصمیم گیری؟

اما اگر به فکر هر گونه اطلاعات دیگری باشید، لطفا به این موارد محدود نباشید.

تفاوت بین رمزگذاری، فرار و Sanitizaton در زمینه امنیت برنامه برای کاهش XSS

لطفا تفاوت های کلیدی بین رمزگذاری، فرار و پاکسازی ورودی را برجسته کنید. چگونه یک ورودی ارائه شده توسط کاربر را می توان در پروکسی متوقف شده مانند Burp Suite تحلیل کرد تا از حملات XSS امن باشد؟ چگونه می توان همه این ها را کنار گذاشت؟ آیا می توان آن را دور زد؟ و راه حل نهایی برای مقابله با حملات XSS چیست؟
چگونه می توان اطمینان حاصل کرد که مهاجم قادر به جلوگیری از کدگذاری خروجی نیست؟

appsec – آیا باید کاربر را از استفاده از برنامه بانکی مسدود کنم اگر آنها مکان را جعل کنند؟

افراد مضر تلاش برای شکستن درخواست شما احتمالا محل آنها را جعل کرده و IP عمومی خود را از طریق VPNs، Tor و / یا پروکسی پنهان می کنند. از طرف دیگر، مکان جعل کردن معمولا چیزی است که یک کاربر نگران حفظ حریم خصوصی اش می کند.

همچنین توجه داشته باشید که این نوع کنترل ها از سمت مشتری ساخته شده اند برنامه، بنابراین یک فرد مضر با دانش کافی در مهندسی معکوس ممکن است از این نوع فیلترها عبور کند، در حالی که یک کاربر مشروع احتمالا این کار را انجام نخواهد داد.

شما باید تعادل آنچه را که ترجیح می دهید، جلوگیری از مهاجمان احتمالی و احتمالا کاربران مشروع محل و یا درخواست خود را به آن مهاجمان افشا کنید

برنامه وب – آسیب بیشتر یک عامل مخرب می تواند با credentials netflix انجام شود؟

باب و آلیس دوستی دارند. باب از Netflix آلیس استفاده می کند. آلیس با باب می شکند اما مملو از اعتبار Netflix خود را تغییر می دهد. باب مخرب می شود، در حال تغییر نام او به چاک در روند سخت شدن روح او است. بیشترین آسیب به BobChuck می تواند انجام دهد؟

من این سوال را نمی پرسم چرا که من BobChuck است، اما چون من کنجکاو هستم

چیزهایی که من مطرح کردم:

  1. تماشای یک دسته از فیلم های وحشتناک از مشخصات آلیس (مسمومیت بیزی) تا نقطه ای که موتور توصیه می کند آلیس را دوست دارد به تماشای چیزهای وحشتناک (فساد اطلاعات؟)
  2. تغییر آدرس ایمیل مرتبط با حساب و رمز عبور مرتبط با حساب، بنابراین آن غیر قابل دسترس است به آلیس تا زمانی که او یک حساب کاربری Netflix جدید ایجاد کند (انکار سرویس.)
  3. گذرواژه را عوض کنید تا آلیس مشکل دسترسی به حساب را داشته باشد و سپس قبل از اینکه بتواند بازنشانی سخت افزار را انجام دهد، رمز عبور را تغییر دهد (Denial of service + psychological جنگ / آزار و اذیت.)
  4. حذف تمام پروفایل ها، مجبور کردن آلیس برای بازنویسی تاریخ او، و گسترش اختلال و شک و تردید در مورد قابلیت اطمینان Netflix (از دست دادن اطلاعات / آزار و اذیت)
  5. ارتقا دیسک فیزیکی آلیس زیر اسکریپت، و تمام دیسک ها را به ChuckBob ارسال کنید، و هرگز آنها را بازگردانید (larceny + denial of service).

آخرین مورد مورد علاقه من است.