Ну не совсем так. Мы не говорим что надо "зашить карман" и не делать ту или иную функциональность, мы говорим что в карман могут полезть, поэтому сверху лучше пришить клапан, или в кармане не держать деньги.
По поводу сессий - да, такой потребности не было. Не поверите, но многие просто удаляют сессии на фронте (удаляют из куки или памяти), без инвалидации самого токена/сессии.
Про 3 кейс скажу так - различных типов доставок более 5 штук. Для каждой надо расписать базовые кейсы такие как успешная доставка, опоздание, перенос, отмена, возврат, частичный возврат, доставка частями. В данном случае, не учли рассогласованность систем (так как есть внешние системы, которые мы никак не контролируем). Сложность систем требует повышенного внимания. А делать хочется быстрл, вот и некоторые углы срезаются.
Ну и по поводу белого хакера, а не менеджера. Архитектура - это только одна часть работы. Приложения мы так же ломаем на стейдже, так же ищем баги на проде. Но исправить проблему на архитектуре в разы дешевле чем фиксить баг на проде.
По сути, мы этим занимаемся на уровне use-case. На этапе разработки сценариев тестирования, AppSec должен прийти в команду и помочь составить все необходимые тест-кейсы. Или же, надо научить разработчиков/тестировщиков писать тесты на abuse или misuse. Это отдельное направление, которое частично тоже внедряется. Внедрить более глубокое тестирование можно после внедрения моделей угроз выливающихся в список задач. Каждая задача уже будет приведена в форму тест-кейса.
наверное стоило назвать "Кем работать в IT в 2022: Специалист по ИБ: SOC, Blueteamer"
в информационной безопасности очень много других направлений и карьерных треков - от пентеста до форензики... нужно больше статей подобного рода, чтобы рассказать о ИБ в ИТ)
Не раскрыта тема скриптов, аутентификации при сканировании…
А ведь без этих фич, ZAP очень слабый сканер веб-уязвимостей.
P.S. недавно добавили же HUD mode. И JxBrowser не используется. Теперь Mozilla встроенная.
10 млн.рублей выражаются в виде помощи — ИТ-инфраструктура, информационные рассылки, вливание инвестиций Банком и помощь от ИТ-парка (аренда места для команды, бухгалтерские и иные услуги).
На счет «талантливых детей эффективных госуправленцев» — не уверен что такое прокатит. Такие люди в ФудТех не идут (опять же, если говорим об ИТ-составляющей)
Понимаю ваше негодование, однако, это статья лишь начало. Если расписывать все что было за год, то читать пришлось бы очень долго…
В планах описать техническую часть. Скорее всего, будет техническая статья про опыт переезда с .net core 2.2 на core 3.1. К тому же, есть наработки про интеграцию ГОСТового TLS из-под контейнера с .net core (работает не идеально, но работает).
Нет, в проекте использовали библиотеку fingerprintjs2. Она позволяет понять авторизуется то же устройство, или нет. Даже если были удалены данные, браузер был переустановлен, то fingerprint браузера будет тем же что и при первом формировании, если не поменялись значимые настройки компьютера (например разрешение монитора или видеокарта).
Как решить проблему дыры в кармане? Зашить!
Ну не совсем так. Мы не говорим что надо "зашить карман" и не делать ту или иную функциональность, мы говорим что в карман могут полезть, поэтому сверху лучше пришить клапан, или в кармане не держать деньги.
По поводу сессий - да, такой потребности не было. Не поверите, но многие просто удаляют сессии на фронте (удаляют из куки или памяти), без инвалидации самого токена/сессии.
Про 3 кейс скажу так - различных типов доставок более 5 штук. Для каждой надо расписать базовые кейсы такие как успешная доставка, опоздание, перенос, отмена, возврат, частичный возврат, доставка частями.
В данном случае, не учли рассогласованность систем (так как есть внешние системы, которые мы никак не контролируем). Сложность систем требует повышенного внимания. А делать хочется быстрл, вот и некоторые углы срезаются.
Ну и по поводу белого хакера, а не менеджера. Архитектура - это только одна часть работы. Приложения мы так же ломаем на стейдже, так же ищем баги на проде.
Но исправить проблему на архитектуре в разы дешевле чем фиксить баг на проде.
По сути, мы этим занимаемся на уровне use-case.
На этапе разработки сценариев тестирования, AppSec должен прийти в команду и помочь составить все необходимые тест-кейсы. Или же, надо научить разработчиков/тестировщиков писать тесты на abuse или misuse. Это отдельное направление, которое частично тоже внедряется.
Внедрить более глубокое тестирование можно после внедрения моделей угроз выливающихся в список задач. Каждая задача уже будет приведена в форму тест-кейса.
наверное стоило назвать "Кем работать в IT в 2022: Специалист по ИБ: SOC, Blueteamer"
в информационной безопасности очень много других направлений и карьерных треков - от пентеста до форензики... нужно больше статей подобного рода, чтобы рассказать о ИБ в ИТ)
А ведь без этих фич, ZAP очень слабый сканер веб-уязвимостей.
P.S. недавно добавили же HUD mode. И JxBrowser не используется. Теперь Mozilla встроенная.
На счет «талантливых детей эффективных госуправленцев» — не уверен что такое прокатит. Такие люди в ФудТех не идут (опять же, если говорим об ИТ-составляющей)
но они совсем не фудтех \/(о_о)\/
за последние два месяца совсем о них не слышно…
В планах описать техническую часть. Скорее всего, будет техническая статья про опыт переезда с .net core 2.2 на core 3.1. К тому же, есть наработки про интеграцию ГОСТового TLS из-под контейнера с .net core (работает не идеально, но работает).