Just Security

Разговор об ответственных технических практиках тестирования на проникновения с руководителем управления анализа защищенности, BI.ZONE — Михаилом Сидоруком.

Про безопасность мобильных приложений говорим, конечно же, с Юрием Шабалиным генеральным директором и одним из основателей Стингрей Технолоджиз, продукта по анализу защищенности мобильных приложений, ex-ведущим архитектором Swordfish Security.Тайм-коды: 00:00 — Вступление 03:57 — Бэкграунд Юры 06:54 — Почему мобилки 09:36 — Почему все забивают на мобилки 11:16 — Приложения это не отображение серверной части, а отдельная сложная система17:10 — Зачем проверять приложение, если его проверяют сторы 22:02 — Приложение, как точка входа в инфраструктуру 27:19 — Avast Mobile топ 10 29:01 — Модель злоумышленника для мобилок 33:45 — Репорт Bug Bounty 39:13 — Bug Bounty Samsung41:47 — На каком этапе разработки нужно проверять безопасность приложения 44:30 — Как проверить реализацию биометрии47:20 — Уязвимость навигации 50:54 — Атака на репозитории JavaScript пакетов 1:00:30 — Документы и лучшие практики 1:08:00 — Инструмент Юры 1:26:00 — Вход в анализ защищенности мобильных приложений 1:33:40 — Стажировка 1:35:00 — Безопасность при разработке приложений 1:45:51 — Хранение персональных данных в открытом виде на мобильном устройстве 1:48:57 — Мобильные приложения очень мобильные 1:51:00 — Советы для специалистов и бизнеса 

Есть мнение, что сегодня любому специалисту, чтобы быть успешным, приходится становиться публичным. Даже в такой тяжелой и махровой отрасли как информационная безопасность, личный бренд помогает в развитии. Или напротив, инфоцыгане добралась до рынка ИБ и все лидеры мнений больше не тру? Сергей Зыбнев пентестер Awillix, автор канала «Похек» и Роман Панин руководитель направления Архитектуры ИБ в МТС и автор телеграм-канала «Пакет Безопасности» — два успешных блогера и не менее успешных специалиста, постарались разобраться в этом вопросе. Обсудили, как презентовать себя на публике, как использовать нетворкинг, как проходить собеседования и как строить карьеру без собеседований вообще. Об этих и многих других темах, связанных с работой в ИБ, сегодняшний выпуск подкаста Just security.

Гость выпуска — Антон Грицкевич пентестер в компании Pentest Limited, багхантер, исследователь с опытом более шести лет. Топ-6 HackerOne в 2020 году, топ-2 Standoff Bug Bounty сейчас. Победитель номинации «Пробив» в Pentest award 2023. Сдавал валидные уязвимости в Cisco, Oracle, Mastercard и другие известные компании. Ведущий выпуска — Александр Герасимов CISO Awillix, этичный хакер, эксперт в области тестирования на проникновение и анализа защищенности.Кейс Антона, победивший в номинации «Как за неделю превратить Open redirect в RCE» — https://xakep.ru/2023/09/21/seedr-hack/ Контакт Антона — https://t.me/byqwert Ежегодная всероссийская премия для пентестеров — https://award.awillix.ru/

Сегодня ведущий выпуска — Сергей Зыбнев, пентестер Awillix, автор канала «Похек». Гость — Антон Лопаницын более известный как bo0om, исследователь информационной безопасности и блогер. Ламповый разговор о направлениях развития и мотивации ИБ-специалистов, об успехах, нелепых провалах, смешных уязвимостях и глубокой экспертизе в области трусошаренья.  Блог Антона — https://bo0om.ru/ Блог Сережи — https://t.me/poxek Pentest award — https://award.awillix.ru/

Разговор с легендой кибербеза. Независимый исследователь, докладчик на международных конференциях, участник одной из сильнейших мировых команд CTF, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis, OpenStack — Павел Топорков (Paul Axe). Павел рассказал про свои самые сложные проекты и как он находит темы для исследований, что его мотивирует и отчего наступает выгорание, почему игнорирует сертификацию и не считает себя багхантером, чем отличается ИБ в России и Китае, когда безопасников заменит искусственный интеллект, и что делать, чтобы стать таким же крутым, как Paul Axe!