CTF тренировки/wargames:
http://ringzer0team.com/
http://root-me.org
http://canyouhack.it/
http://www.hackthis.co.uk
http://captf.com/practice-ctf/
https://ctf365.com/
http://smashthestack.org
http://overthewire.org/wargames/
https://microcorruption.com/login
https://exploit-exercises.com/
http://freehackquest.com/

Matasano Crypto Challenges - cryptopals.com

Огромное количество всего:
http://www.getmantra.com/hackery/
https://www.gitbook.com/book/isislab/hack-night/details

Полезные инструменты для CTF
http://webcache.googleusercontent.com/search?q=cache:gOdFvGbs7R8J:delimitry.blogspot.com/2014/10/useful-tools-for-ctf.html+&cd=1&hl=ru&ct=clnk

Полезные CTF репозитории на github:
CTF Field Guide https://trailofbits.github.io/ctf/
https://github.com/trailofbits/ctf

CTF framework used by Gallopsled in every CTF
http://pwntools.com
https://github.com/Gallopsled/pwntools

Some setup scripts for security research tools.
https://github.com/zardus/ctf-tools

A curated list of CTF frameworks, libraries, resources and softwares
https://apsdehal.in/awesome-ctf/
https://github.com/apsdehal/awesome-ctf

A general collection of information, tools, and tips regarding CTFs and similar security competitions http://ctfs.github.io/resources
https://github.com/ctfs/resources

Challenges for Binary Exploitation Workshop
https://github.com/kablaa/CTF-Workshop

Useful for CTFs, wargames, pentesting. Educational purposes.
https://github.com/bt3gl/My-Gray-Hacker-Resources

A curated list of awesome Windows Exploitation resources, and shiny things. Inspired by awesom
https://github.com/enddo/awesome-windows-exploitation

CTF write-up's
https://github.com/ctfs/write-ups-2014
https://github.com/ctfs/write-ups-2015
https://github.com/ctfs/write-ups-2016

Образовательные порталы:
http://www.pentesteracademy.com/
http://www.infosecinstitute.com/
http://opensecuritytraining.info/
http://securitytrainings.net/

Вузы:
http://www.best-masters.com/ranking-master-business-intelligence-knowledge-and-security-management.html
http://www.cyberdegrees.org/listings/top-schools
https://digitalguardian.com/blog/cybersecurity-higher-education-top-cybersecurity-colleges-and-degrees

Курсы:
https://academy.yandex.ru/events/system_administration/kit_2014/
http://ocw.mit.edu/courses/electrical-engineering-and-computer-science/

Exploit Development Community
https://expdev-kiuhnm.rhcloud.com/

В среду, 28 июня, WikiLeaks опубликовал очередную порцию секретных документов ЦРУ в рамках проекта Vault 7. На сайте появилась 42-страничная инструкция по использованию инструмента ELSA, позволяющего отслеживать пользователей Windows-устройств с поддержкой Wi-Fi на основе данных расширенной зоны обслуживания (Extended Service Set, ESS) или ближайших сетей Wi-Fi.

https://wikileaks.org/vault7/document/Elsa_User_Manual/Elsa_User_Manual.pdf

Кто там про "виндоус без альтернатив" пел
Ах да рн-без,я же совсем забыл-вам сейчас не до викиликса тролфейс.жпг

Кстати, грядет вступление 552-п. Все приготовились? я вот толком нихуя

>>1065136 (OP)
По книгам добавлю, что Black hat python тоже вышла.

Перекат удался, однако! И сразу бамп образовательной платформой: https://www.cybrary.it/
Ещё в прошлых тредах давалась пара ссылок на книги, но там дофига устаревающих и даже имеющих лишь историческую ценность книжек.

>>1065949
> имеющих лишь историческую ценность книжек.
@
КНИГИ 2009ОГО ГОДА

>>1065954
2004-го

>>1065959
Принципы толком не меняются. Как и векторы атак. Меня удивило, что в списке нет очевидного must read "Секреты и ложь" Шнайера.

>>1065961
> Шнайера
Ты оппост читал? Видишь закономереость? Там техническая литература. А ты советуешь художку.

Как у безопасников с удалёнкой? Вообще насколько часто это практикуется? У Каспера кажись такого нет, у Dsec есть частичная удалёнка.

>>1065964
Кстати поясните куда стремиться новичку? Позитив дигитал или каспер?

>>1065962
В этой "художке" весь сок и понимание принципов ИБ, как таковых.

>>1065965
В риэлтеры.

>>1065966
А в войне и мир вся суть стратегического планирования.

>>1065965
У некоторых стажировки есть, иногда даже оплачиваемые или удалённые. Многое зависит от твоего города и возможности его сменить.

>>1065969
Ок. Добавлю конкретики. Город Москва, но здесь ничего не держит. Главное не деньги, а свалить за бугор.

>>1065972
>Москва
Ну тогда тебе есть, из чего выбирать. У Каспера точно есть стажировки, у Яндекса видел(но вроде бы нет ничего по ИБ). У Dsec стажировки в питерский офис. Тут ещё от скиллов зависит и желаемого направления. Можешь походить по собеседованиям на джуниора и понять, где нужно подтянуть знания.
>свалить за бугор
Во, как раз хотел спросить в треде, как в нашей специальности с перспективами заведения трактора. С СШП вроде бы понятно, там ИБ востребовано больше, чем у нас. Про Австралию писали, что некоторые организации нужно по закону пентестить 4 раза в год.

>>1065968
Кстати, нихуя. Признайся, ты ведь не читал ни то, ни другое.

>>1066025
Нет. Не читал. не читаю худодкуА про войну и мир навальный втирал, что для курсов страг. планирования в ейле требовали прочитать эту книгу.

>>1066063
> навальный
Лучше бы ты художку читал, ейбогу.

>>1065968
> вся суть стратегического планирования.

Ильф-Петров "Золотой теленок" и «Теория игр. Искусство стратегического мышления в бизнесе и жизни» Авинаш Диксит и Барри Дж. Нейлбаффа прочитай эти две книги и больше никогда к этой теме не возвращайся.
Все само по кирпичикам в голове сложится.

>>1065967
>В риэлтеры.

Если только в черные. У обычных сейчас конкурс по 100 чел на место-сокращение персонала у них уже второй год идет,продаж-то нет нихуя-крайзис,люди ежей доедают.

>>1065964
У каспера из 3,5к примерно 2к в московских офисах, около 1к в офисах по всему миру. Остальные на удалёнке.
Вопрос в том, что ты должен быть особо ценен для компании, чтобы выдвигать свои условия работы. Иначе пиздуй в офис или на хуй.

>>1066520
> Остальные на удалёнке.
Чёт дохуя. Откуда данные?

>>1066542
>Чёт дохуя. Откуда данные?

Тоже сталкивался,помимо удаленщиков у них и субподрядчики и аутсорсы есть. Не может крупный бизнес сидеть только в офисе.

>>1066628
>субподрядчики и аутсорсы
Это понятно, но 14 процентов удалёнщиков слишком много. В 5 процентов поверю, но ожидал ещё меньше. Где они такое сказали?

>>1066207
>
>1465x1209
>
> Пацаны, с метасплойтом
если в такую элементарщину не можешь простые скрипты ебаные запустить, то лучше смени отрасль - не твоё.

>>1067120
Двачую.
мимо знаю метасплоит с рождения

Реально ли вкатиться в ФСБ после гражданского вуза по ИБ? слышал что в некоторые московские вузы на последний курс приезжают люди в черном и предлагают контракт, есть ли особо перспективные в этом плане или все хуйня? Алсо что скажете по поводу обучения на курсах типа cisco, стоит того? Да и вообще, так ли все плохо с работой, как описано в знаменитой пасте?

>>1067208
Чем будешь моложе, тем реальнее. Курсы нужны разве что ради корочки. С работой не плохо, и она в принципе будет всегда, в пасте просто указано, как правильно делать карьеру, ну и реальный уровень зп, как и то, чем будешь заниматься, чтобы знали, на что идут.

>>1067208
>так ли все плохо с работой, как описано в знаменитой пасте?

Если работать на дядю никогда пряников не получишь. Идешь в БЦ арендуешь комнату,а затем предлагаешь свой ИБ всем обитателям БЦ. В ДС 1700 БЦ и 1500 ТЦ работы на всех хватит. А пасте не верь-не то что она лживая хотя это было доказано в прошлом треде про чувака нашедшего закладки в материнках и лубянка даже не поняла о чем он говорит просто это манипуляция фактами с целью заставить тебя идти работать задешево в госы.

>>1067220
В треде консперолух? Давай попредлагай свои иб-услуги без спецов в штате и без лицухи. Дядя майор только и ждёт чтобы наебнуть такого умника как ты.

>>1067220
> Идешь в БЦ арендуешь комнату,а затем предлагаешь свой ИБ всем обитателям БЦ.
И обитатели БЦ шлют тебя на хуй. Сетевые магазины потому, что у них свой штат ИТ, а ИП Ашот, как и ООО камшот экономят на просто ИТ, за ИБ платить тем более не будут. Да и что ты им предложишь? "Поставить антивирус"? Там давным давно шуршат миниэникеи. Или ты им SEIM развернешь?
> А пасте не верь-не то что она лживая хотя это было доказано в прошлом треде про чувака нашедшего закладки в материнках и лубянка даже не поняла
Нука пруфы в студию, что там было что-то доказано?
> о чем он говорит просто это манипуляция фактами с целью заставить тебя идти работать задешево в госы.
Вот это полёт маня-фантазий... Шапочка из фольги не жмет?

>>1067263
> Дядя майор только и ждёт
>>1067272
>>1067308

Опять наплыв портянок,незнающих, что ИБ это нетолько "пробивка" и прочие корочкокозыряния,раздувание щёк и намеки на паяльник,а в первую очередь IT-безопасность -2017 на дворе. Никогда штатный сисадмин,а зачастую эникей в фирмочке 20-30 пользователей не будет иметь тот багаж по айти-безопасности, что специалист. ИБ не заменяет местный персонал, он его дополняет с весьма определенной целью.

Здесь и вступает в игру ИБ-консультант. Периметр,анализ,права и поддержка всего этого за скромную ежемесячную мзду,что у сидящих в одном комплексе вызвает больше доверия. Любой минимальный БЦ это минимум 50 фирмочек на 10-30 человек. Если окучить даже каждую десятую,а на практике выходит каждая 4-5,то это достаточный доход чтобы не скулить,где мои 200 штук мес. Просто научись продавать свои знания,если они есть,конечно.

Но дебилам же делать цивилизованный бизнес некрасива -"Где углеводороды,где охулиарды,где понты наконец,мы что зря портянки мотать учились и честь перед зеркалом отдавать с ебанутой мордой лица,кого я тут нагибать буду?!". Вахтеры как они есть в чистом виде,тупые исполнители. Сколько я ебальников таким поразбивал за то что они "словом офицера" козыряли об отсутствии следов взлома. Берешь его за шкирку и начинаешь перед ним восстанавливать содержимое логов. Скулящие пидорасы,блядь. Вот нахуй я им это рассказываю?! Ведь хочешь же по-человечески показать ну может просто не понимает человек,не видит дороги,а он настолько интеллектуально ограничен,что вместо того чтобы слушать и впитывать,начинает выебываться. Ну и сидите в говне своем, перетирая про "денег нет"

Приветствую.

Сегодня мне ВНЕЗАПНО позвонил мужик и сказал, интересует ли меня работа в ФСБ РФ. После утвердительного ответа сказал, чтобы я ему перезвонил когда буду в центре города для собеседования.

Собственно два вопроса: это подстава и меня порежут на органы? Если не подстава, то к чему готовиться? Приходить в костюме-тройке или можно в берцах, шортах и футболке? Меня на собеседовании заставят строить защищенную сеть на 20 компьютеров или просто убедятся, что я не мудак.

P.S. Я свежевыпустившийся специалист по компьютерной безопасности.

>>1067120
Знакомый длелает все как и я, и у него выходит.

>>1067419
Видимо ты был на хорошем счету и кого-то из преподов с бывшими погонами.
По-другому туда и не зовут. Т.е. тебя уже рекомендовали. Сходи так и так. Экспириенс будет интересный, отвечаю.

>>1067416
Поцоны, а шизофазия нынче лечится вообще?

>>1067451
>Поцоны

Обоссали тебя копротивленец,сиди и помалкивай. По делу всё написано.

В ИБ сидеть и ждать у моря погоды бесполезно. Надо самому двигать процесс. Рыночек уже порешал,есть услуги,которые востребованы и есть те, которые даже забесплатно никому в хуй не уперлись. Петя свидетель.

>>1067451
Кажется у нас свой Владичка завелся.
:(

>>1067539
Слышь, мудло беспробельное, от твоих высеров пространственных так веет агрессивным быдлом уровня тех же сапог, что ты так показушно ненавидишь, что аж тошно.

> Обоссали тебя копротивленец,сиди и помалкивай. По делу всё написано.
Чем больше себя подсемёниваешь, тем "авторитетнее" для самого себя и звучишь, да?

Тебя видно, гэбня часто под хвост няшила, что до сих пор отойти не можешь. Ну и твой колхозный бЫзнес план уровня "яиц и бульона" тоже тебя не красит. "ИБ консультант", лол. Прям представляю, как подходишь ты такой, консультант, к лотку в ТЦ с спиннерами, да чехольчиками, и давай им про Петю шифровальщика лечить, и как ты их спасешь за мелкий прайс, лол.

И да, буйное животное, где там пруфы-пруфики на счет "лживости" достаточно объективной пасты?

>>1067548
А кто это?

>>1067308
>обитатели БЦ шлют тебя на хуй. Сетевые магазины потому, что у них свой штат ИТ, а ИП Ашот, как и ООО камшот экономят на просто ИТ, за ИБ платить тем более не будут.
Внезапно услуги директорам, которые мутят за глазами владельца биза. У них зачастую бешеное бабло откатывается и распиливается, а свой IT не привлечешь, первыми же и сдадут. Услуги формата как общаться, чтобы не записали и где прятать, чтобы не нашли- это заебись.

>>1067573
Тогда уж проще сразу в черные шапки или кардинг какой.

А так, типичная постсовковая пидорашья натура "лишь бы наебать", да "бабла побольше получать"... Да еще и без просчета - во что сиюминутный откат может вылиться в итоге.

Самим-то не стыдно? "Безопаснички", блядь....

>>1067419
Расскажи хоть потом, чо было-то.

>>1067552
>мудло беспробельное
> подсемёниваешь
> под хвост няшила
>буйное животное


Уровень аргументации. Даже мем "владичка" не в тему втянул.

>>1067552
>на счет "лживости" достаточно объективной пасты

Как у тебя бомбануло-то,уже второй тред остановиться не можешь. Прости нас за то что ты такой.

"я сильно сомневался в их технической грамотности, поскольку они просто не поняли большую часть того, что я рассказал и показал.
...
Сотрудники «Газпрома» посетовали на низкий уровень информационной безопасности и заявили, что это не их дело, поскольку они руководствуются требованиями и правилами, которые устанавливает ФСБ. Круг замкнулся, стало понятно, что эту монолитную систему «информационной безответственности» не пробить.
"
https://xakep.ru/2011/12/26/58104/

Здесь вообще всё надо копипастить
http://mikhailmasl.livejournal.com/4852.html

На неделю тебе хватит,а потом мы тебе еще ссылок подкинем чтобы тред не засирал.

Раз зашла речь про откаты, то поясните. На этом можно заработать? Рыночек занят или всегда есть чинуша, который хочет лишнюю строчку в смету? Что им предлагать?

>>1067633
Допустим, возьмем классический B2G сектор.
На уровне сейла B - ты зарабатываешь закрытием сделки.
На уровне лпр G - ты получаешь откат, и, опционально, делишься с коллегами.
Изначально надо предлагать то, на что идет тендер, а далее знакомиться лично и обсуждать варианты сотрудничества. Что мы можем сделать, чтобы выиграть тендер? Как мы можем учесть Ваши интересы? Как нам сделать наше предложение максимально выгодным для Вас?

>>1067637
Я скорее спрашивал в какие тендеры вкатываться, а не как их выигрывать. Госы не спрашивают услуги безопасников. Наверно придётся сначала уговаривать организовать аудит, а потом получить заказ. Что кроме аудита можно делать?

>>1067608
> вместо прямого ответа начал вновь вилять жопой и кинул какие-то невнятные мемуары уровня Джеймса Бонда
Ясно. Понятно.

>>1067633
Гори в аду.

>>1067644
их все равно интеграторы выигрывают. забудь

>>1067658
Да ну, прикольные мемуары. "Либерашка в Кровавой Гэбне"

>>1067767
Не, конечно, спасибо, что Акунина или, прости господи, Криптономикон читать не предложил, но главный вопрос был - пруфы лжи в пресловутой пасте. Этот поехавший только насрал несколько кучек текста, но на сам вопрос в итоге и не ответил.

Господа, что про эшелон скажете?

есть ли смысл в аспирантуре по ИБ?

>>1067960
Есть ли смысл в бакалавриате по иб?

>>1067960
>>1067976
Есть
Есть

>>1067936
ECHELON?

>>1067936
На уровне слухов из жёлтой прессе
- любой.
Более менее достоверную информацию - Сноуден, но сомневаюсь что он тут сидит.

>>1068128
>>1067451

>>1068172
>>1067451

В треде ИБкун из сами знаете какой конторы по типу говногазнефть. В знаменитой пасте могу опровергнуть лишь то, что в сырье/энергетике занимаются ИБ серьезно. В моей конторе у руля бывший фэбос, который максимум шо умеет махать шашкой. В отделе еще 2 дауна с нулевыми скилами. Максимум шо они умеют это высрать что-то в стиле давайте закроем везде порты и пнем админов шобы проверили шо патчи с всуса нормально доходяд до АРМов. О чем тут блять говорить, если патчи от ваннакрая вышле в марте а вирусня начала хуярить в мае, а эти ИБдауны только в июне начали чесать жопу "а у всех ли стоит KB закрывающий уязвимость". Цимес в том, что в таких конторах оборудование по АСУ еще и пашет на win98 иногда 2000, и никто его менять не собирается лол. Что бы не быть голословным. Возьмем недавние события с ваннакраем и петей. Есть официальная инфа о том, что вирус наебнул эту вашу роснефть и башнефть. От ваннакрая обосралось еще и ржд. А у ржд явно в консультантах по ИБ еще и фэбосы должны быть ибо блять объект повышенной террористической угрозы. Добавлю еще то, что петек наебнул банки, только ни один не признался лол. В треде были ИБкуны из банков. Подтвердите братки? Суть такова: в РФ ИБ никто не занимается, братки, ибо у руля ебанутые вояки, бюджеты нулевые, отделы для галки, чтобы отбиваться от фстэка и ркна. Не тешьте себя надеждами.

>>1068260
>ебанутые вояки
Я несколько задумался, и видится мне, что вояки нет, не ебанутые, они другими категориями мыслят. Их же вся эта вирусня не касается, когда эльбрусы, кассеты, бумага и пишущие машинки.

>>1067416
Уебище то какое. Откуда сбежал?

>>1068262
Я как-то сводил своего начальника посмотреть, послушать как работает схд с лентами. Он чуть не обоссался от настальгии когда услышал.
ИБкун из говногазнефти

>>1068260
> В треде были ИБкуны из банков. Подтвердите братки?

Как в воду смотришь. Вчера заказчик бывший попросил съездить в один неприметный офис. Съездил,пообщался. Я обычно с банками напрямую не работаю,но знакомый хороший и денег посулил. Консультацию оказал,тонны нефти получил. Банк из топ-20. Почему человека со стороны позвали я понял только когда приехал. 70% WinXP, AD на 2к3,длинки на ядре и неуправляемые свитчи на пользователях,WiFi гостям дают прямо в локалочку. Какой нахуй Radius,чё это? Вон на стене пароль написан. Вместо сисадминов эникеи. На рм скотчем примотанные персональные токены. Из тех,что общался только два грамотных спеца один архивариус,второй из процессинга. Остальные это какой-то лютый пиздец. Открыто вообще всё,еби не хочу. Васянство беспросветное, как они сертификаты получили вообще не понимаю. Высказал всё, что думаю их ибачеру. Ему шизику похуй,фондов нет,персонала нет,зато в разговоре похвастался, что только что беху новую взял. Военный бывший,из академии лол. Полночи не спал, всё думал в ЦБ заяву накатать. ЦруФсбМочаГазНефть мало там адекватов и не только иб касается. Вот так вот малята.

>>1068260
>В треде были ИБкуны из банков.
ИБ кун из банка в топ-15 по РФ.
Мы таки скорее были пропатчены, как только узнали о wannacry пятница вечер, так хуй ушли пить пятничное крафтовое пивко, сорвали все дочки и филиалы и уже к утру субботы те, кто не пропатчились, таки патчи поставили. В общем "ни единого разрыва". Но объективно скажу, что пронесло. Меня даже больше ебет 552-п, чем какие-то там шифровальщики, т.к. бэкапы никто не отменял, а вот проверка ЦБ вещь куда страшнее для организации в РФ.

>>1068260
АСУ вообще больная тема, когда работал в конторе, где дохуя заводов было по РФ и проехался там разок с инспекцией, сразу же уволился к хуям. Т.к. понимаю, что разгрести эти авгеевы конюшни в разумный срок не возможно, да и бабла на это хуй кто даст. В общем, в случае реальной войны или реального терракта, прообъектам пизда.

>>1068337
Ну и пиздец. Работал я в небольшом энтерпрайзе, в котором денег на it давали мало, поэтому там работали в основном студенты. Хрюша на 10-15 процентах компов и то только потому, что не выделяют бабки на замену некрожелеза. С сегментацией сети порядок, через вифи во внутреннюю сеть не попасть, по всяким токенам и прочему есть правила работы и они даже в основном соблюдаются юзерами. Хотели даже ad с керберос замутить, но начальство не одобрило, но никто хотя бы под админом не сидит. Длинки или на доступе(и то иногда циски), или там, где экономия на цисках оправдана(но не в ядре). Неуправляемые свитчи у юзеров тоже есть, но это казалось нам уебанством и мы потихоньку старались от этого уйти. И мне постоянно казалось, что у нас ёбаный цирк и торжество распиздяйства.
А ещё есть специалист по информационной безопасности. Уже не студент, перекатился из админов. Бумажник. Выставляет рдп наружу голой жопой. Ставит пароли уровня 123456. В итоге, блядь, админы учили безопасности безопасника.

>>1068260
>>1068340

Крупный банк с дочкой в руинах.
Ваннакрай были единичные случаи, Петя пролетел мимо. Касперский отработал нормально.

В МЭИ на очно-заочной никто не учился? Что меня ждёт?

>>1069057
Информационной безопасности, разумеется.

Ждём новую волну хакерских атак, никто ничему не учится даже на своих ошибках.

http://www.securitylab.ru/news/487133.php

>>1069079
Было б чему удивляться.

Кто знает достойные внимания статьи/книги на тему "Безопасность информационно-вычислительных систем"? Поделитесь ссылочками, если есть у кого что-то по этому направлению, пожалуйста.

Сап, учусь на информационную безопасность в шараге, собсна:
1. Лучше идти на вышку, или после шараги исеать работу
2. В чем вообща заключается практическая сторона работы(афк сидеть и смотреть, чтобя никто не ломился на серв?)
3. Вообще, куда лучше идти работать и кому я нужен с такой специальностью?
4. Че там по зп?

>>1070636
>1. Лучше идти на вышку, или после шараги искать работу
На вышку. Без неё трудно работу найти
>2. В чем вообща заключается практическая сторона работы(афк сидеть и смотреть, чтобя никто не ломился на серв?)
Зависит от того где работать
>3. Вообще, куда лучше идти работать и кому я нужен с такой специальностью?
Пока никуда. Стремись в крутые компании, что у всех на слуху.
>4. Че там по зп?
Ниже чем у обычных прогеров

>>1070650
>Ниже чем у обычных прогеров
Я бы сказал, что обычно даже ниже, чем у админов со специализацией.

>>1070373

Анон,кто перекатывать в будущем будет,добавьте в стоп-лист авторов по ИБ, которых читать бесполезно и даже вредно: Проскурин В. Г. вода-мокрая-это вода-да-мокрая вода-так в википедии написано-но это учебник-поэтому зубрите-вода мокрая. 3 его книги прочел,это пиздец,а ведь там написано,где он преподает.

Аноны добавляйте говно авторов чтобы не тратить на них свое время.

>>1070975
Очевидный Генрих Лемке.

>>1071011
>Очевидный Генрих Лемке.

Не любишь Лемке?
Признавайся это ты его форсил под Кирилл Ивашкин http://kirov-times.ru/forums/2/topics/292

>>1071304
Нет, не люблю, т.к. честно пробовал его читать. Отборная шизофазия чистой воды. Зашел по ссылке, честно, охуел. Захотелось быстро сделать шапочку из фольги. И да, это не я, я по таким помойкам не шарюсь, и тебе не рекомендую.

>>1071336
У Лемке хорошо даны основы разведки в условиях жесткой контрразведки, у него же опыт гру. Допустим, беззаходовая комм.разведка предприятия. Аналогов в открытом доступе не видел, ты однозначно погорячился со своим решением.

>>1071360
Ты его нашёл годную книгу? Назови
мимо

>>1071360
> Допустим, беззаходовая комм.разведка предприятия. Аналогов в открытом доступе не видел, ты однозначно погорячился со своим решением.

Блядь, я сейчас поужинаю и не поленюсь раскопать в домашней библиотеке именно эту книгу. Там накал шизофазии сильнее всего.

> гру
Вообще не показатель. У меня у родной бабки муж был полканом гру. Реально был наглухо поехавший шизик и воин синего легиона. В итоге по синей же лавке вышел в окно. На будущее советую не дрочить на аббривеатуры, особенно современные.

>>1071403
Открывай секреты комм.разведки. Серия ось 89 в целом радует.

>>1071405
Тоже спорно. Ок, вот содержание. Выглядит относительно логичным но опять же, на первый взгляд. Начинаешь читать подробнее, и...

>>1071410

И так, какую главу открыть?

>>1071413
гл. 15 к вопросу об агентуре - 265. давай сразу к делу и методикам.

>>1071423
Откуда у тебя это все?
Я вот года джва назад пытался найти- и нихуя не нашел в продаже. Только в pdf, и то далеко не все.

>>1071435
Был молод, глуп еще не повидал больших залуп и повелся на эту серию после "Бизнес разведки" Доронина. Лемке купил скопом еще тогда, доставили названия и главы содержания, а начал внимательно читать только спустя год, когда пришлось заниматься бизнес-контрразведкой на практике.
И так, выкладываю всю 15-ю главу, будет 3 поста по 4 разворота в т.ч. этот

Заранее извиняюсь за слоупочность, блядкая макакаба не пускает из-за размеров фоток, приходится резать.

>>1071443

>>1071445
Пока фоткал еще раз перечитал. Ну ведь реально поток больного сознания. Море воды, сносок словоблудных, а на деле Н-И-Х-У-Я.

>>1071435
Хочешь, кстати, все 5 книг могу тебе загнать? Если ты в ДС, то могу даже лично передать. КР явно пройденный этап в моей жизни. хоть и было весело

>>1071453
Что могу сказать. Да, действительно, эта книга Лемке- не учебник, а потом сознания. Но потоки сознания тоже можно читать, это такая форма общения с автором, короче попиздеть с человеком в теме, когда таковых рядом нет, вот это бесценно.
Пишет он хоть и с водой, хоть и спорно,но- с чем-то соглашусь, с чем-то нет.
Книги с удовольствием заберу. Кидай свое фейкомыло.

>>1071458
либо сам пиши на kotovodspb@protonmail.com

>>1071461
Отписал

>>1071449
>а на деле Н-И-Х-У-Я.

Как это нихуя-мораль же вывел:глупо спалится на вербовке сотрудника конкурента,потому что всё шаблонно лишь с небольшими изменениями. Правда до него чуть раньше то же самое какой-то сунь-цзы сказал,но мысль же есть. лол

Недавно получил вышку по защите информации и хочу работать по специальности. Учился не особо прилежно, такое чувство что вообще нихуя не знаю (ну что-то знаю, конечно, но такое себе). Опыта работы в этой сфере нет. С чего начать? Куда вкатываться, где и какую работу найти, чтобы постепенно осваиваться и входить в нужную струю? Какие знания и навыки подтянуть на должный уровень, чтобы не обосраться на собеседованиях?
Короче, с чего начать и где искать работу зеленому выпускнику?

>>1071677
Да не как блять.
ОП посты не читал или в глаза долбишься?
Нахуй в этой пораше водиться, что оно тебе даст?
Уровень ЗП в среднем, чуть выше чем у админов. Все остальное геморрой и лысины на голове.

>>1067586
Кароч, сходил на собеседование.
Встретил меня мужик в гражданском, предложил побеседовать на улице.
Сказал следующее: из минусов - невыездной, рабочий день ненормированный, но все учитывается. Переработал - получил дополнительную денежку, потом как-нибудь ушел пораньше.
Из плюсов - все военные льготы, зарплата с первого дня 50 тысяч, дальше больше, начинаешь лейтенантом.
С момента как ты согласишься запускаются шестеренки, тебя проверяют, сдаешь всякие нормативы-медкомиссии, к работе приступаешь через год.
Еще предупредил что круг общения резко сужается, но я же у мамы интроверт, мне не страшно.
Потом спрашивал как у меня с веществами, где родственники живут, были ли проблемы с законом и тому подобное.
В конце сказал подумать и позвонить через неделю с предварительным решением.

>>1071811
Ну все верно он тебе написал. Что сам думаешь?

>>1071813
> *Расписал
Быстрофикс

>>1071813
Я склоняюсь к тому, чтобы согласиться. Стабильность, хорошая зарплата, куча льгот. Для слегка асоциального бывшего студента условия просто офигенные.

С другой стороны это значит что за оставшийся год крайне желательно найти тян, причем ту которая хочет замуж за лейтенанта, чтобы стать генеральшей(или там полковничихой), потому что потом уже будет как-то некогда.

А вообще, если тут есть ФСБ-куны, вы мне скажите, вы вообще жизнью довольны?

>>1071811
А чем заниматься? Писать эксплоиты для взлома ЦРУ?

>>1071866
Честно сказал, что не знает. Именно поэтому берут сразу после университета с базовой подготовкой в общей области безопасности.
Когда уже заключишь контракт, вроде как определят на конкретную работу и начнут на нее натаскивать.

>>1071773
Читал. Энивей вышка есть уже. В "программисты" 300к/с не хочу, не мое это. Да и не готовили нас в прогеры, от слова совсем. В какую область IT перекатываться тогда?

>>1071373
Программа самоликвидации подсознательно наслаивалась на поведение личности, в один прекрасный момент словил триггер и ее отработал.

>>1071819
>ФСБ-куны
В военаче у них тред

>>1071955
Они на всех досках есть.

>>1071955
Благодарю, туда тоже написал.

>>1072066
https://www.ozon.ru/context/detail/id/1065023/?group=div_book

ну ты вроде взрослый, дальше сам разберешься

>>1071874
Блин, ну я выпустился пару лет назад, в дипломе значится специалист по защите информации.
По специальности работаю около года, в департаменте: я, ЭБ, директор. Весь левак с железом делают админы, у меня DLP, согласование, внутренние разборки, ну и банк-клиенты с отчётностью (ко-ко-ко ключи с криптографией, значит это твое), плюс частично выполняю работку ЭБ (т.к. там объемов много, а человечка не берут еще одного).
Все "безопасность" сводится к закрыванию отверстия, чтоб в него не присунули регуляторы. Плюс раздача пиздюлей сотрудникам, за несоблюдения ОРД. Бывает конечно проскакивает годнота, но все больше и больше из разряда эконом без.
Что касается варианта: "ну вот ты бы сам железом занимался, стал бы безопасником, ко-ко" - ну блять, это все хуйня. Железом пусть занимаются админы, эта их вотчина, мне надо просто понимать, что и как, а работать руками нахуй не надо. (но это моя личная позиция по данному вопросу).

Если брать в расчёте PT (почему? ну например по тому, что там работает человек 5 знакомых, и да это про перекат): по сути ребята делают, "аудиты" и додрачивают свои софтины (кст вполне приемлемые, но стоят овер дохуя, для простых контор): всех их требования в вакансиях "спец по иб", сводится к знанию пайтона, OSI, ну и "умение работать с железом" и участие в CTF. В итоге допиливают макс-патрол, спайдер и другие приблуды - аля простая софтовая компания.
Про пентестеров, реверсов и кулхацкеров говорить особо нечего, все как обычно, но все кто шарят, большая часть блэк хатят, держат все наликом или на счетах родственников и тп. Эта ниша для тех кто одарён и соображает, а не сидит на бордах (хотя быть может и есть, но это так) или ходит на вебинары где показывают как пользоваться kali.

Что касается общей картины, платина в ОП-посте, и правда раскрывает всю суть. А если рассматривать мухосрански менее 1кк жителей, то там и подавно, все по пизде. Дрочка на кприто-про у УЦ, аудиты с локаторами (и то если повезет), сидение на жопе в какой-то конторе и подрачивать (собственно как я).
Если рассматривать отрасль, то на мой взгляд тут палка о двух концах, если работать где-то на проектах, то стартовые ЗП там маленькие, но бывает различная годнота, можно поехать на АЭС, на нефте-газовый промысел, завод еще куда-то, тут и разные направления, и по стране покататься, да посмотреть что и как работает. ЗП там обычно начинает вырастать где-то через 2-3 года.
В крупных компаниях обычно все централизовано, вся движуха проходит в центральных офисах, все что на площадках и филиалах, решение прихотей центра. ЗП тут более менее приемлемые, но все равно мало (мск, спб начальная вилка при 2-3лет опыта 70-90к).

Может я конечно несу хуйню, но по большей части наши специальности нахуй никому не нужны, все ребята в погонах, решают наши вопросы на подскоках. А тех.часть админы обкашляют за кружкой пенного.
Хотя все брошюры в университетах пестрят о том, что специальность очень крутая, вотсребованная, работать можно везде и всюду, берут в фсб, мвд, мин.обор другие сорта силового блока - обычная вода в уши абитуры, на которую кстати я частично повелся. А всю суть своей дальнейшей работы понял только на 3 курсе, когда начался НИРС.

Да в целом, что говорить, что на прошлой, что на действующей работе удалось посмотреть на "расчётные листы" и понять кто и сколько получает.
Прошла работа, была в офисе филиала одного оператора большой тройки, смотрю расчётки: ген.дир 150к, ком.дир 130к, тех.дир 105к; руководители отделов ком.служб: 70-80-90. руководители тех.блока: 60-70
На нынешней работе аналогично: мой дир получает 75, дир логистов столько же, HR дир 65, а дальше продажники, закупшики, финики, комерсы и тд, у всех зп по 150к, у тех.дира 120.
По ЗП вырисовывается картина, что в руководящих позициях, так называемые технари далеко отстают от финансового сектора, и сектора реализации продукции (под продукцией прошу понимать любую вещь, что прозводит ваша конторка).
Лично у меня мысли пробовать перекатиться в какой-то финансовый сектор, в банки, консалтинг еще куда-то, ибо цифры не врут.
Да и хули толку, ну безопасник, ну имеешь доступы, чувствуешь развитие синдрома вахтера, а головняков дахуя, денег мало, работа так себе.
Кст на счет переката, еще есть вариант на должность pre-sale, или простым продажником, с одной стороны выглдяит как хуета, с другой если влиться, можно нормально подымать.
Да собственно о чем говорить, торговый представитель в филип-морис (это самая низкая позиция в компании), получает от 50-60к, а при выполнении плана еще больше.
В общем пока не поздно, думаю все же выкатываться из отрасли, ибо гиблое дело, особенно у нас.

p.s: возможно скомкано и хуево написано, но что поделать.

>>1071819
>А вообще, если тут есть ФСБ-куны, вы мне скажите, вы вообще жизнью довольны?

Есть. Создай новый тред и в нем спрашивай. Раньше был тред спецслужб,но портянкам надоело получать уринотерапию и они создали второй тред в /wm , куда мало кто ходит за вопросами о работе.

>>1072075
>А если рассматривать мухосрански менее 1кк жителей
Да тут не в каждом миллионнике нормальное ИТ есть, про ИБ я уж молчу. В ДС, в меньшей степени в ДС-2 что-то есть, в некоторых миллионниках единичные вакансии, иногда компании свои по ИБ имеются. Всё.
>по большей части наши специальности нахуй никому не нужны, все ребята в погонах, решают наши вопросы на подскоках
Именно! Сколько бы ни пиздели нам про "катастрофическую нехватку спецов".
>Хотя все брошюры в университетах пестрят о том, что специальность очень крутая, вотсребованная, работать можно везде и всюду, берут в фсб, мвд, мин.обор другие сорта силового блока - обычная вода в уши абитуры
Нам говорили, что у нас уникальная специальность, что у соседей аналогичная есть только в ещё более крупном ближайшем к нам миллионнике, некоторым из нас давали дополнительные стипендии как лучшим студентам по приоритетному направлению, но потом честно говорили, что по этой специальности работы нихуя нет, зато нужны толковые программисты.
>денег мало
Может быть всё не настолько печально, если идти в профильные компании типа pt, dsec, каспера. А так проще пойти в админство: девопс, биг дата, высокие нагрузки, sdn и что-то ещё из того, что сейчас в моде. Денег больше(но всё равно гораздо меньше, чем в разработке), геморроя меньше.

>>1065916
Хорошо, а если я захочу уйти в темную область, то какие перспективы по деньгам? Бекграунд неплохой, разработка + электроника, образование радиоэлектронная защита информации.

Слышал, что очень мало ловят, если не зарываться и с умом все делать.

>>1072110
> Раньше был тред спецслужб
До бамплимита год тонул периодически всплывая бампами мимокроков.

>>1072333
https://forum.reverse4you.org/showthread.php?t=1582
ну вот например.
если в белую, то обычно от 100к рублей и выше.
а так нужно в английский, ну и требуемые скилы.
один мой товарищ, живет этим, областной центр, квартира 100кв.м+, машина за 2кк+ евроремонты, мото техника, постоянные путешествия, и постоянные оставление бабла во всех кабаках.
в общем никто и не в чем себе не отказывает.
если по простому, то хватит на все и вся.... пока товарищ майор не наведается))

>>1072458
Нормально. С товарищем майором подключим параноидальный мод

>>1072075
А сколько получает смузихлеб-пинтустер?

>>1072458
>пока товарищ майор не наведается))

С чего бы ему наведываться,если человек официально трудоустроен? Он же не киллером на зарплате,а ресерчером трудится. Всеобщая боязнь товарища майора,самим товарищем майором умышленно раздута.

Знаю одну контору куда "товарищи майоры" пришли и изъяли всю коммерческую информацию,носители,ключи БК итд-целый день работали. Безопасник только расшаркивался с бывшими коллегами,чай-кофе лично носил,а на следущий день стоя в холле на коленях пиздюлей получал реальных,кровью весь ковер залил потому что выяснилось корочки у "товарищей майоров" были липовые. Двоих, по видеозаписям охранки, опознали в РОВД с ходу-бывшие старлеи,уволенные по компроментирущим,остальных они сдали втечении часа. Решили так подзаработать,надеясь,что начнут взятку предлагать.

Так что никого бояться не надо,есть закон,соблюдай его и проблем не будет,тогда и товарищи майоры закончатся.

>>1072613
Так а в чём конкретно безопасник провинился? Что на корочки повёлся?

>>1072707
>Так а в чём конкретно безопасник провинился? Что на корочки повёлся?

Один-единственный звонок с целью проверить полномочия отделяет спеца от рядового кукарека. Раз бывшие летейхи были в составе банды значит процедуру знали,работали под официоз. в таких случаях одним простым звонком дежурному можно было проблему предотвратить. Не сделал- значит не знает порядка,не знает порядка-значит кукарек.

>>1072075
Потому что перемешанны обязанности сб, иб, эб.
+ пытаются всучить админство

>>1072333
Откуда слышал интересно?
Новости не трубят многих дел, потому что они не понятны и скучны для обывателя.

Учитывай так же, что ты можешь работать в правовом поле в России, но при этом нарушать закон в США. Поэтому при попытке посетить цивилизованную страну будешь мигом доставлен в Гуантанамо.
Прецедентов сейчас предостаточно.

>>1072075
>>1072235

Не понимаю вашего нытья... обидно что не принесли все на блюдечке.
Высшее образование даёт вам отличную возможность старта. А дальше вы уж как то сами распоряжайтесь своей судьбой.

У меня вот не было такой возможности. Отучившись на электрика (не электроника с робототехникой, а электрика: розетки, проводка) пришлось очень много самому все учить.
В итоге да, у меня хорошая работа в одной из лучших компаний в этой сфере.

>>1072812
> ты можешь работать в правовом поле в России, но при этом нарушать закон в США.

2017, в ИБ еще остались шизики, работающие в сети под реальными именами?

>>1072894
Как и шизики, думающие, что они вообще не следят в интернетах, и корреляция - это не про них.

>>1072894
Ты такой наивный верящий в свою неуязвимость.
Но походу ты не в тебе от слова совсем.
Почитай про Кребса, как он вычисляет реальные имена неуязвимых кулхацкеров.

>>1073201
Он тебе о том и сказал, что от людей остаются следы.

>>1072825
И чем тогда выпускник вуза лучше? Вот только не надо про "базу".

>>1073388
>И чем тогда выпускник вуза лучше? Вот только не надо про "базу".

Ничем не лучше,более того есть две-три книжки, и лол они даже на русском, вызубрив и начав применять которые рядовой таджик с мозгами может стать более скилованым чем 90% уже работающих выпускников по ИБ.

Из-за излишнего стремления к академичности, там где это ненужно и лишних дисциплин, в РФ произошел перекос в образовании. Слишком многих спецов готовят 5-6 лет в вузах, а достаточно 1-2 года пту.
Заменив ебануто написанные учебники на нормальные вплоть до переводных также можно сократить обучение по многим курсам. Это кстати не только ИБ касается.

У вузов есть только один плюс -среда. Она формирует знакомства и связи,что в дальнейшем может дать неплохие шансы.

>>1067220
>Идешь в БЦ арендуешь комнату,а затем предлагаешь свой ИБ всем обитателям БЦ.

Добра тебе анон
Неделю назад прочитал твой пост. Теперь сижу в офисе.Пилю прохладную.

ДС. Турнули по сокращению из недр три месяца назад ибо нехуй своим ИБ начальство от секретарши и танчиков отвлекать. За это время догнал,что резюме моё читать и на собеседование звать никому нахуй смысла нет. Осталось 12,5 тысяч и съемная хата оплаченная до конца июля. Анон,ты не представляешь как плохо быть мной. Один хуй идти некуда,жить неначто.
Пошел в ближайший бизнес-гадюшник,снял офис за 8 тыс в месяц комната 5х4. Стол и стул мне подогнал местный завхоз. БЦ запилил бесплатную табличку на дверь "Консультант по информационной безопасности ФИО неудачника" и попугая-матершинника неработающий домофон на дверь. ИП и р.с. у меня были с прошлой фирмы,там чтобы нас в штате не держать оформили ИП. Пока сидел и думал как и что целый месяц жрать на оставшиеся 4 штуки,в дверь постучали.

Инстаграммного вида милфа зашла и спросила это вы новый компьютерщик,можете ли отключить пароль на ноуте? Да,но только за деньги подумал я,но хуй думал иначе и сказал только: несите. Пока эта коза таскалась за компом,решил сожрать дошик. Без кипятка и воды невкусно нахуй. Опять стук, еле успел закинуть дошик в ящик стола. Лысый вонючий долбоеб в косухе пришел интернет подключать и обрадовал в конце месяца оплата 5 штук. Попадалово нахуй.

Припиздила милфочка отключил пароль в её восьмерке. Думал позыркать, хуй там. Дала 5 тысяч и еще спросила нормально-ли. Анон 5 тысяч за отключенный пароль. Я в ахуе. Мой мир треснул напополам,да за эти деньжищи я бы в полдень её в жопу на красной площади выебал. Жизнь начала налаживаться. Дал ей свою визитку,которую сделал на 1 этаже 100 штук за 400руб.

Боги явно благоволят моим начинаниям. Отсканил калом беспроводные сетки с самым мощным сигналом,пробежался по корридору и сопоставил названия. Из 16 сеток 2 открылись сразу,еще 4 открыл легким брутом хендшейков. Выбрал ближайшую, от-ИБашил её на всю глубину моих знаний за 2 часа,составил репорты,согнал на флешку и попиздовал к начальнику этой фирмы.

Думаю мой припизднутый видон повлиял, на ресепшне этой фирмы дал флешку и попросил распечатать для ФИО их директора, они без слов распечатали. С этой папкой пошел к их директору. Представился,дал визитку и рассказал о пиздеце в их сетке. Тот вызвал своего эникея и начал ебать,тряся моими отчетами.
Обретать врага в лице местного эникея не хотелось,быстро встрял и начал пиздеть что сисадмин невиноват и не должен знать такие вещи. Для такого говна есть я и если дадите денег,то я всё сделаю в лучшем виде.

Пожали руки,директор предложил оформить договор,сейчас вот задаток 40 тысяч наличкой. Анон,40 тысяч. Мой мозг не отошел еще от милфы,а тут сходу дают 40 и еще 80 после окончания аудита.
Теперь неделю спустя я успешный ибач с 6 контрактами и еще 4 на подходе,периодически прибегают пидорасы с забытыми паролями.

Буду иногда заглядывать в этот тредик,задавайте свои ответы.
Думал пруфнуть контрактами,но подумал еще раз лол и решил идите на хуй.

>>1073555
Шизик-сёменоид, ты бы прежде чем так толсто срать, хоть бы почерк собственный изучил цифровой. После первого же отсутствия пробела после запятой, понял, кого я читаю. И дальше читать, собственно, не стал.

>>1073595
Бляя а ведь была такая история успеха(

>>1073697
Этот шизик весь тред форсит идею наебизнеса в ибэ. Вот арендуешь офис в тц и заживёшь.

>>1073595
А отсутствие пробела после точки ты не заметил, пиздец.

>>1073595
>почерк собственный изучил цифровой.

Мне конечно насрать на ваши тёрки. Я так понимаю пасту сочинил ты и уже второй тред сильно обижаешься на анона, её обосравшего.

Но справедливости ради LT показывает разное авторство. Вот это >>1065136 (OP) (18 строк) >>1067416 (полностью)
>>1067220 (полностью) писал один человек в программе нотепад++ там такая автоматическая система пунктуации (отсутствие пробелов после запятой, в тех местах где пробелы после запятой есть очевидна правка текста после вставки в форму двача). Можно предположить профессию бывший линукс программист теперь пользующийся окошками.
Вот это >>1073555 писал другой человек (89 отличий) стилистика совершенно разная, отличается слог, обороты, манера использования глаголов и их положение и синтаксис. Предположительно человек из глубинки(рабочий район), но с высшим техническим образованием. ЗЫ. По базе оборотов первый долго жил в ДС2. Интересная методика кстати, плагинчик прицепил посмотрел на абзацы внешне вроде похожи, а программа орёт разные. Вывод не покажу во избежание деанона, но когда программа показала я понял, что абзацы действительно разные. Более того я нашел на каком ресурсе долго сидел первый. Определить ник не смог, но влияние 146%. Это разные люди.

А в историю успеха я скорей верю чем нет. Сам об этом думал, вполне реально. Но ИПОТЕКА просто ссусь.

>>1073862
>Этот шизик весь тред форсит идею наебизнеса в ибэ. Вот арендуешь офис в тц и заживёшь.

Я лично насчитал в треде 2 сообщения про идею ИБ-бизнеса из 147. Это весь тред засрал? Тем более,что его посты адекватны и конструктивны. Скорей я поверю в то, что у тебя припекает от конкретного анона и тебе все равно по какому поводу на него наехать. Твои посты напротив это визги шизик-владичка стайл. Предположу и лет тебе немного и в /b зависаешь.
Свои запятые на всякий случай проверил, а то и меня приплюсуешь, поехавший.

>>1073889
> LT показывает

Уже диванон. Лолирую на весь ИБ-тред. 2 полные инсталяшки на РФ и полторы сотни без экстендед плагинов.

У меня есть стойкое ощущение, поцоны, что в треде нас ровно 4 шт из регулярно отписывающих. Один из них точно из ДС, а еще один из ДС2.

>>1073898
>2 сообщения
Он ещё предлагал модемы собирать, которые работают только с тема телефонами, что ввели номер и получили смс.

>>1073889
> LT показывает разное авторство
Это про что он пишет?

Вопрос, может, не по теме, но хуй знает. Пользуется кто сервисами типа этого: https://focus.kontur.ru/?promo=2762 ??? Можно контрагентов пробивать, если кому че нужно - там халявный доступ на 2 дня.

>>1073939
Там про безопасность, а не лингвистику.

>>1073951
>обязательный курс
Что ты несёшь? Там нет такого.

>>1073952
>вы всё врети

>>1073921
Один из них точно из миллионника-мухосранска. Это я.

>>1072333
история успеха: https://xakep.ru/2017/07/14/alphabay-rip/

Мисье защитники информации я решил вкатиться в вирусные аналитики .в вакансии пишут нужны знания архитектуры винды ,можете пояснить подробнее что хотят от меня знать?насколько глубоко в ней надо разбираться?

>>1075114
за Win32_API пояснишь че? а за АСМ? а за С? Дизассемблить могешь? Если нет пшел нахуй бумажник хуев.
Мимо

>>1075186
технобыдлу бомбануло

мимо ибшива

Что известно про Краснодарскую РосИнтеграцию?
До сих пор платят по 10к студентам и пилят госбюджеты?
Поясните.

>>1075114
Проходил собес на вирусного аналитика. Было два тестовых задания(реверс малвари и crackme, оба простые, максимум на один вечер), на самом собесе спрашивали, насколько хорошо знаком с winapi, asm, c, позадавали базовые вопросы про виртуальную память, стек, соглашения о вызове функций, формат PE, SEH, DLL Injection, немного по сетям спрашивали. Сказали, что в основном будет малварь под винду, но много попадается образцов и под мобильные платформы(иногда даже приходится байт-код java анализировать). Под линуксы что-то крайне редко попадается.

Короч, рассказываю.
Учился на безопасника, профессию особо не выбирал и представления не имел. Лучше б сразу на кодинг ориентировплся. Но не суть.

Краснодар

Год работал по специальности.
С чего бы начать... После окончания универа взяли меня в местную крупную контору, зп 14к на старте. Даже сись одменам со старта платили 25к.
Ну, ладно, думал я, опыт главнее. На собеседовании обещали горы золота, Конторка в основном занималась задачами для гос.учреждений, коммерсов было пару за все время моей работы. Поставляли оборудование, программы, документы для проверок, занимались настройкой и внедрением всей этой чухни, продавали свой парашный сайт с шаблонами для производства докумкнтов по защите информации. Контракты были распильными, по факту моя работа нахуй не нужна была никому. Порой заказчик даже этого не скрывал. Увидел работу мелких и крупных госов изнутри - стабильно и бедно, тлен и стагнация. Компания работала по принципу выжить-выжать, цеплялись зубами за каждый рубль работников, постоянно набирала студентов - люди долго не держались и валили. ЗП спускалась фиксированная на отдел, начальники секторов/отделов решали как ее делить на остальных. Естественно, что свое отдавать никто не хотел, потому начальники занимались постоянными придирками, старались вызвать чувство вины (Но меня не наебешь, я сразу раскусил эту фишку). Через год у меня начал дергаться глаз. Отправляли в командировки по всему краю, день команлировки 500-700 рублей премии, на отели не более 1к за день, то бишь, чтоб максимально быстро и дешево, не дай бог задержишься.

Доработки документов для заказчика по выходным. Даже не скрывали, что мол - ты бы занимался самосовершенствованием, делал бы еще работу дома вечерком и на выходных. Отношение к сотрудникам, как к скоту - вот, что чувствовалось.
Изучил предложения конкурирующих фирм, не особо отличались условия. Бомбануло после того, как начальник начал наезжать, что мол, что-то ты неэффективно работаешь, следующий объект твой будет контрольным - не справишься, получишь зп без бонусов (то бишь не 15к, а 6к), а справишься - молодец. Еще вскольз намекнул, что мол, пока повышать рано, А ВОТ ГОДИКА ЧЕРЕЗ два-три - НОРМ. Тогда и уволился через пару недель.
Еще когда только устраивался решил, что свалю, если через год мое состояние и заработок не будут меня устраивать.

Три месяца искал работу тестировщиком, жава макакой, сисьодменом, учил базы данных и запросы. Устроился SQL разрабом, 35к, местная крупная фирма. Запросы, vba программирование, оракл, оптимизация, помощь юзерам, выдача доступов.
Никаких командировок, работаю 4-5 часов в день, двачую капчу, никто не давит, не прессует, повышение зп каждые 7 месяцев на 5к. Переработки оплачивают поминутно.
Забавно вышло. Эта мелкая конторка интегратор обещала мне ламповую и семейную атмосферу, а в итоге удобно мне оказалось в огромной компании.
Конторка продолжает жить за счет стулюдентиков без опыта, все продолжая жаловаться на тяжелые времена всем новоприбывшим.

Сформилирую краткую суть своего опуса. В раше ИБ не взлетело в большинстве случаев. Не тот уровень развития страны. Нет репутационных рисков, как таковых. Ты ничего не потеряешь, если конф.инфа всплывет где-нибудь. Ходит в этой среде байка, что один зеленый банк при краже базы данных юзеров ограничился лишь смсками о том, что стоит сменить пароли. Все повязаны и все друг друга знают. А у обычных людей не особо-то и выбора много. Все мероприятия по ИБ носят лишь вынужденный характер - лишь бы не нагнули органы, роскомпозор и все вот эти ребята. Развития никакого, пилишь красивые бумажки, очень много бумажек, лепишь схемы, устанавливаешь по и все, что можешь в итоге - как Лукацкий, Агеев и прочие вести свой уютный бложик про иб.

Сорри за текст - писал с телефона.

>>1075748
Это норма

>>1075748
Бля. Что-то много таких историй стало.
У меня вырисовываются предположения, что вы либо плохие специалисты сами по себе, которые пинали хуй в течении всех лет обучения в университете, либо искали работу в жутких мухосранях. Иначе - никак.

Открываю любой сайт с вакансиями ДС, ДС-2: все вакансии завязанные на ИБ с зарплатой в 60к+ месяц.

Может вы просто какие-нибудь "дежурные пульта управления", но причисляете себя к безопасникам, лол

>>1075684
А расскажи про свой бэкграунд на тот момент,хорошо знал си и асм?а winapi?есть кст по ним годная книга или статья?

Поясните за сертификаты. Хочу обзавестись одним ещё до окончания универа. Чтобы выделятся на фоне других выпускников без опыта. Что посоветуете?

>>1075990
На эти вакансии кого по-твоему берут?

>>1076016
Да в летуаль наверное. Любой, какой сможешь позволить. Эйчар стопроцентно баба, но если директор тоже, то лучше, наверное, ей. Хотя тут зависит от того, кто интервью проводит.

>>1076056
Хороших специалистов, подходящих под все требования.
Для чего было достаточно прилежно учиться в университете и активно заниматься самообучением, благо есть такие возможности.

>>1076063
Опыт работы нужен, дурашка. Да и знания, которые просят, в книжках не найдёшь, в них лишь основы.

>>10760
На нормальные сертификаты нужен ИБ-опыт подтвержденный трудовой.
Все остальные можно повесить в туалет.

быстрофикс ИБ-вышка засчитывается за год опыта при сдаче

>>1075990
То есть для тебя всё, что за пределами ДС-ов это жуткая мухосрань?
>>1076009
Я тогда только недавно МухГУ закончил, поэтому релевантного опыта не было - все знания получены или в вузе, или на CTF. Читал мыщъха, Рихтера, Руссиновича, Солдатова, Сорокину. Ну и куда же без гугла и msdn.

>>1076143
Не взяли его. Он психологические тесты завалил.

>>1071811
>Из плюсов
>зарплата с первого дня 50 тысяч
Пиздец.
Извините.

>>1076240
Мало?

>>1076155
Он там расписывает все в военаче. Что за дебилоид.

>>1076165
Мда, видимо я один такой долбаёб.

>>1076836
Я не умею ломать кудахт.

>>1076837
Да ну? А ну ка попробуй шел залить.
http://vk - uda - hte . com/ прикинете в спамлисте слово

>>1078119
О, спам-лист вообще лютый ад... Педалик отдыхает.

Анон,подкинь годного чтива по ЭБ. В шапке одна ИБ.
мимобудущийезопасник

>>1075990
>>1075990
Где ты эти вакансии видишь?
Я 3 года работал в небольшой конторке и история почти таже.
Сначала платили 14 к т.к. я был студентом и реально нихрена не знал. Потом врубился что такое ПЭМИН изучил от и до и в своей диссертации доказал почему нынешние СЗИ (сертифицированные) не обеспечивают должную защиту от ПЭМИ.
НСД настраивал и разбирал на раз два (тоже были написаны письма разрабам о совершенствовании, которые они позже добавили).
Работу проводил от и до в кратчайшие сроки:
1. Мониторинг торговых площадок, участие в торгах, заключение договора.
2. Сбор первичных данных об ОИ.
3. Проведение аттестационных мероприятий (напоминаю это всё соло) ((неважно ИСПДН это, конфа, ДСП или ГТ))
4. Подготовка протоколов и остальных документов.
5. Тащу все на подпись.
К концу третьего года платили 35к. Командировки никак не оплачивались, давали суточные 500 р, но ЗП в итоге получалась меньше.
Дошло до того, что в один день надо было ехать в командировку (очень далеко), но я дома пол пальца отрезал (ну почти), наложили 6 швов. Командировка естественно обломалась т.к. я не позволил себе поехать. С меня содрали всю сумму за билеты и отправили на следующий день! (При чём я спокойно мог взять больничный, но не стал т.к. знал, что у нас был завал по подготовке документов, думал посижу попишу).
Пришлось ехать и с одной рукой монтировать ВП, при чем монитровать надо было не пару датчиков, а дохера.
С несправедливостью ФСТЭК и других организаций я вообще молчу... Хотя:
Такие ретарды как ГОС ОРГАНИЗАЦИИ типа ФГУП НПП ГАММА можно сказать вообще не работают. В плане ПЭМИН они вроде подросли и начали искать все информативные сигналы, но раньше был пздц. В плане НСД, что такое ЗПС они не знают до сих пор, ну может знают, но явно не пользуются этим т.к. проверяющие органы к ним не придерутся.
Сам же проверяющий орган (ФСТЭК) в большинстве случаев просто выёживается и пытается доказать то чего он сам не понимает.

Короче я все эти три года я понял, что никому защита инфы не нужна (кроме настоящих конфушников типа операторов сотовой связи, вот там реально война идет). Эта специальность реально будет востребована через 5 лет (сами знаете, что сейчас происходит). Когда устоятся вопросы касаемо ИБ, когда все поймут для чего это нужно, тогда везде появятся СПЕЦИАЛИСТЫ, а сейчас мы никому не нужны (ну випнетчики и ребята, которые работают в организациях, которые подмяли под себя аттестацию АСУ ТП конечно нужны).
И вот уже сижу пол года без работы и чёто приуныл.

p.s. есть возможность отсканить новую книгу Кондратьева, надо кому-нибудь?

>>1078847
Сферу сменить не пробовал?

>>1078925
Сейчас как раз этим и занимаюсь. Ищу себя в других сферах

>>1078847
Чувак, ты офисная крыса. Ибэшники инъекции sqlmap'ом ищут, сеть namp'ом сканят, уязвимости metasploit'ом эксплуатируют и проверяют чтобы дыры из owasp'а не всплывали. И не важно какие ты там бумажки на работе оформляешь т.к. сейчас некоторые ДСП получше большинства ГТ охраняют. И ты с своими бумажками этой охране никак не помогаешь. А книгу свою "новую" верни обратно в 90'ые.

>>1079157
лол, а обеспечивать сетевую безопасность это не означает быть офисной крысой.
Я руками монтировал САЗ, настраивал випнет и прочее говно типа даласа и сикрет нета.
Приведи мне хоть 1 пример где ДСП защищается лучше? Может ты имеешь ввиду конфу? Если ты даже в этих понятиях не разбираешься нам уже не о чем говорить. Думаешь почему в америке столько сливов секретки? Да потому, что они юзают сеть и хоть усрись, если есть выход в глобальную сеть, то сколько бы ты портов не перекрывал и не проверял дыры заюзаным калилинуксом это не поможет. Именно поэтому защита ГТ в рашке самая топовая.

>>1079178
>Приведи мне хоть 1 пример где ДСП защищается лучше?
Там где денег больше чем в госах.
> Если ты даже в этих понятиях не разбираешься нам уже не о чем говорить.
Я ещё и половины твоих ноунейм аббревиатур не знаю. Но это только доказывает на сколько ты со своими бумажками оторван от реальной безопасности.
>Думаешь почему в америке столько сливов секретки?
Не достаточно хороший контроль доступа сотрудников к информации? Излишние прозрачность и контроль работы силовиков? Безнаказанность предателей?
>если есть выход в глобальную сеть, то сколько бы ты портов не перекрывал и не проверял дыры заюзаным калилинуксом это не поможет
Доступ в глобальную сеть причина сливов? Сколько ты знаешь примеров когда намеренно взламывали такие сеть? Ни у кого нет столько средств чтобы взламывать каждую слабозащищенную сеть. Обычно концентрируются на ценной добыче не обращая внимания на её защиту.
>защита ГТ в рашке самая топовая.
Нет здесь топовой защиты

>>1078953
А в ДСах вообще нет вакансий подходящих?

Коллеги, не гоните на вышеотписавшегося ПД ТСР-куна >>1078847 , он не виноват, это рыночек порешал.
Добывание нужной информации можно осуществить несколькими способами. Для большей части бизнеса это- техническая разведка, it-разведка, ну и агентурная.
Специалисты бизнес-разведок добывают информацию наиболее простым и эффективным путем. А именно, it+агентура. Технические разведки используются редко, так как нужна куча дорогого и редкого оборудования, это все как-то надо доставить на объект, нужен специалист, умеющий это все юзать, а так же могут взять за жопу на горячем. Зачем это все нужно, если есть более простые, дешевые, эффективные способы?
Соответственно, бизнес так же вынужден защищаться связками кибербезопасник+оперативник+экономист. ПДТР не у дел.

>>1079178
> настраивал випнет и прочее говно типа даласа и сикрет нета.
В приличном обществе о таком вслух не говорят.

>>1079327
>Там где денег больше чем в госах.
там где нас нет?

300 k рублей чтобы дистанционно снять инфу. Это по вашему дорого?

>>1079327
Если ты считаешь, что информационная безопасность это только обеспечение сетевой безопасности, то мне тебя жаль, но если тут весь тред такой, то он бессмыслен.

>>1079746
Тоже удивился, что у этого маняфантазера ИБ это один пентест , так даже не поиск новых багов а просто скан утилитками

>>1079178
Если только в этой модели угроз она топовая. Агентурная работа и банальный подкуп сводит эту топовость на ноль.

>>1079746
>>1079826

Он тут один такой.
Я уже не обращаю внимая на его феерические высеры

Думаю, это какой-то тестер из мелкой шарашки, клепающей говносайты для ООО и ИП.
Мнит себя крутым пентестером зарабатывающем 3000к $ за каждуб дыру (на самом деле 35к деревянных в месяц)

Так, я осознал, что поступать на ИБ было хуевой идеей туповат, но почему-то блять половине потока практику за деньги написал. Так вот, с корками этой специальности берут на всяких админов и подобное, или же сваливать пока не поздно?

>>1080013
А почему хуевой?интересно же ну

>>1080013
Институт дает тебе возможность для старта. если ты ожидал, что к тебе приползет лично биллгей и будет упрашивать пойти к нему за 300кк в наносекунду, то да, ты туповал.

>>1080018
Да тупой я слишком. Пока что профессиональные ну как, языки программирования, организация ЭВМ и чудом основы ИБ я делаю на отлично, но всякий матан и особенно физика держат меня на грани вылета.

>>1080024
А че там сложного? С точки зрения ИБ тебе из физики надо понять что такое акустическая волна и все вытекающие: виброакустика, акустлектрика, акустооптика. И электромагнитку понять, но тут без практики никак.

>>1079157
>ты офисная крыса.
>sqlmap'ом ищут,
>сеть namp'ом сканят, уязвимости
>metasploit'ом эксплуатируют
Офисная крыса плиз
А чё сколько там каналов утечки информации, или ты про аналоговую инфу не паришься?

>>1080024
>матан и особенно физика
4е по путал чёрт, запоминай формулы и учить их применять все. Это тебе русский язык с кучей исключений, грёбаным третьим лицом падежами и суффиксами

>>1080062
*учись

Странно, что за несколько тредов ни одной байки про внутренние расследования, разоблачения взяточников и т.д. инбифо профессиональная этика, либо спецы по внутренней кухне сидят не здесь

>>1081451
Я писал же как-то, как вычислил ИБшника-одмина, входящего в ОПГ местное.

>>1081484
Да, нашел в 3 треде. А сейчас часто что-то горячее случается или скука-рутина?

В одном из тредов писали, что автор Р-Системы был замечен на выступлении того, чье имя нельзя называть. Это словоблуда Лукацкого что ли?
И вообще, встречаются ли в наших интернетах вменяемые форумы по общей тематике СБ? Видел парочку ресурсов, но сложилось впечатление, что там сплошь экс-сапоги в колонну по два. Общение письменное у них такое специфическое, будто смесь копа низшего ранга и правонарушителя, лол. А ещё встречаются всякие персонажи со своей терминологией на американский манер. Увидев слово "сыскология" знатно проиграл с таких мэтров.

>>1081511
Уволился оттуда уже пару лет как спасибо крымнашу. Нынче же глубоко в бумаге... Скучаю по тем временам, если честно.

>>1081520
Специфика работы не способствует открытому общению и обсуждению личных наработок. Спалил методику- ее отметили и начали учитывать в своей работе.
Про достижения- NDA.
Потому общаются в основном теоретики, а практики наблюдают и молчат.

С чего начать чтобы вкатиться в простенькие ctf? Умею немного писать на Си, пробовал свои силы в написании простенького эксплойта переполнения буфера, немного могу в сети, консольку *nix. Ну и читать/гуглить, да

>>1065136 (OP)
>>1083160
Добавьте в шапку статью:
https://habrahabr.ru/company/parallels/blog/332178/

>>1083687
Ты что, там нет Светочей - Лукацкого и Царева!

а на деле статья фуфло, кулстори в духе "я ломал его чат в торе" на уровне миста Робота. Информативности в ней ноль.

>>1083705
А ты хорош!
Может тебе еще Профессионал должен каждый шаг описать, чтобы взламывали соседей по сетке все кому не лень?
Статья описывает суть, а детали уже сам постигай.

>>1083687
Не назвал бы это ответом на мой вопрос, но история прохладная

>>1065136 (OP)
Возьмёт ли работать государство, если у меня военник из-за псих диагноза?

>>1083160
Смотри разбор тасков с предыдущих ctf(в твоём случае в первую очередь в категории exploit/pwn), иногда есть возможность запустить сервис у себя, но часто даётся только ссылка, которая после ctf обычно протухает. Ссылки на тренажёры есть в шапке. Ещё добавлю https://backdoor.sdslabs.co/ - много тасков, рассчитаных на новичков.
И ещё освой какой-нибудь скриптовый язык(питон, например). И английский.

>>1083705
Статья достаточно информативна.
Хотя бы в том плане, что большинство вредных хакеров — недалекие люди, то есть тупые.

Да, сейчас любой может скачать nmap или metasploit, найти обучающий ролик на ютубе и начать хакать сбер.
Но он не станет экспертом в ИБ. Конечно, он будет себя мнить такие и это на руку настоящим экспертам, которое работают по белому.


Я очень часто сталкиваюсь с с такими псевдоикспэртами: что по работе, что в интернете.
Например, вот бредовые размышления такого иксэрта: http://telegra.ph/Opasnost-antivirusov-07-01

То что эксперт не описал подробностей - нет ничего особенного.
В законе однозначно написано, что взлом чужих компьютеров уголовнонаказуемое деяние.
Там нет никаких разделений, что компьютеры хороших парней взламывать нельзя, а плохих можно.

>>1084547
кстати я артем и никогда не был им, но когда стал понял что я н еартем, вот такие вот дела творятся у нас на руси!!!!!!!!!!!!

Что за академия?

>>1085036
Водного Транспорта.

Неужели все настолько плохо с рынком иб в этой стране?

>>1085195
Ну я работаю в западном вендоре и мне норм.

>>1085370
А как попал?И Кем работаешь?пинтустер-смузихлеб?устанавливальщик сикретнетов?

>>1085195
основная работа в отечественном вендоре - тут тоже все норм.

>>1085653
Пресейл-инженер. Провожу демонстрации на вебинарах/семинарах, делаю пилоты у заказчиков, консультирую и помогаю интеграторам когда у них кривые руки сложности с внедрением. Нравится, что работа динамичная. Ни о какой стагнации говорить не приходится, постоянно идет развитие навыков и знаний. Рекомендую.

>>1085664
Если только это не хуйня, выезжающая за счёт сертификатов ФСТЭК/ФСБ типа Инфотекса или Кода безопасности.
Не представляю, как у людей хватает совести впаривать это.

>>1085787
аналитик ИБ. продажам не имею никакого отношения

>>1085854
PT/Касперский/Group-IB?

ty

>попытался перевестись с 4ого курса инженерной специальности на ибшную
>вы не можете быть переведены, так как вы очень много предметов не сдадите

Пиздец. И что делать.

>>1087713
А нахуя тебе прям ИБшное?

>>1087735
Работу предлагают, и нужно именно такое образование.

>>1087736
А больше, думаешь, в жизни работы не будет?

>>1087741
такой - нет

>>1087713
Все правильно. Если для тебя важно что написано в дипломе, то отчисляйся и поступай заново на 2 курс.

>>1087745
Сын ванги? Хотя с таким настроем ты прав - не будет

>>1085787
аналитик ИБ. продажам не имею никакого отношения

>>1085854
>>1088528
Чё ты повторяешься?

Чего бы такого можно было бы запилить, чтобы совместить практику в кодинге и иб? Подкиньте идею, может веб-сервис какой?

>>1089749
Форкни чё нить на гите не сложное и с ибэшной темой в описании.

Анончики, а что можете сказать по Доктор Веб?Кто-нибудь там работал?есть инфа как таам?

>>1090160
хорошо там, где нас нет

>>1089749
менеджер сканов nmap\massscan, чтобы работал с удаленными хостами, чтоб можно было из админки задать подсети\айпишники и потом стянуть репорты.

Приветствую всех. Препаририуется сайт на WordPress 4.7.5. Случайным образом (просмотрел путь при открытии одной из пикч на сайте) открыл папки wp-includes и wp-content.
Вопрос 1: так должно быть? Можно ли получить доступ к открытию файлов(сейчас открываются пустые страницы)/редактированию?.
При вводе на /wp-admin редиректит на вход в сайт (в котором, чтобы залогиниться надо ввести только пароль, поле "логин" отстутствует). Прогнал сайт через wpscan в Kali, обнаружил одну уязвимость по версии Wordpress и одну по гугловскому плагину. Что делать дальше — не знаю, нуб ебанный. Прошу помощи, в нюфажном треде не помогли.

>>1092132
Почему программы сканеры могут только показать уязвимость и нет кнопки взломать?

>>1092132
Дальше тебя надо бы обоссать. Ты нашел в каком треде такие вещи спрашивать.

>>1092143
действительно
>>1092153
ну а в каком ещё? укажи дорогу. даже в /pr молчат, послали в воркач

>>1092173
Эриксон. Хакинг искусство эксплойта.

>>1092216
спасибо!

Постажировался я в Dsec и охуел, всё так пиздато, все безопасники такие успешные боги, потихоньку вкатываюсь в нашу элитную профессию. И мысль в голову пришла - нужно сделать себе какое-никакое имя. Дайте советов, как на конференцию попасть? Ну то есть вот я сяду за пекарню, буду чёнить ковырять, придумывать, обдумывать, найду интересную уязвимость, а потом что? Просто заяву кидать? Поделитесь опытом, пожалуйста.

>>1072740
Ты не путаешь безопасников с it безопасниками?

>>1067416
> Никогда штатный сисадмин,а зачастую эникей в фирмочке 20-30 пользователей не будет иметь тот багаж по айти-безопасности, что специалист.
Вопрос только где этот багаж нужен

>>1067627
> Наказуемо УК РФ. Это такой вор, только по ИБ. Ездит на бутылках и носит робу.
Шо, у вас уже кардеров начали ловить?

>>1092408
Тебе уже работу предложили? На zeronights можешь выступить со своей темой.
Постажировался удалённо в Dsec и охуел. Куратор спустя некоторое время забил на тему. Я сам не забил, но мотивация всё же куда-то делась, хотя исследование было очень интересное.

>>1070727
Лолблядь. Безопасник в рашке это типа гребень от айти?

>>1083748
Не всякая конторка берет без военника(выше комтайны), а ещё меньше организаций берёт с проблемами здоровья, вроде какой-нибудь эпилепсии.

Именно. Ит-гной, ит-мразь, ит-пидор
>>1092478

1075748-кун

>>1092478
Нет. Гребень - это rnd

>>1093614
Хто?

Господа, расскажите как вы начинали участвовать в ctf. Сколько времени ушло изучение разных направлений?
Я работаю админом, соответственно большинство тасков network решаю, а вот с другими беда. Порой в принципе не понимаю в какую сторону копать, как понимаю для этого нужен творческий подход?

>>1094589
Сначала смотрел задачки и разборы, но не участвовал, а потом присоединился к цтфэшному кружку.

Кто что знает о secsem ВМК МГУ? Команда bushwhackers оттуда два года подряд RUCTF выигрывала, да и вообще кажется что эта команда топовая в России по цтфу

>>1095979
Сам себя не похвалишь никто не похвалит.

>>1073555
Бля, ты крут.

По иб дохуя книг. А по цтф есть что?

>>1096337
Шапку смотри. Не книги, но информации достаточно.

>>1096338
Мне бы исчерпывающую книжечку. Чтобы было всё и по порядку. Или на крайние случай курс лекция, но побольше. На пол года например.

>>1096343
https://www.ozon.ru/context/detail/id/31649356/
https://www.ozon.ru/context/detail/id/20032936/
https://www.ozon.ru/context/detail/id/135726580/

изучай. будешь знать основы - будешь знать как и где найти дыры

>>1096407
Цтф это уязвимости искать?

>>1096407
База базой, а на цтф задания специфичные. Умения пользоваться правильными инструментами обычно важнее.

>>1096423
Это типичный интернет-персонаж, который на любые вопросы фыркает "иди рфц читай, ламер".

>>1096423
подготовка и выпуск технической книги происходит где-то за год. поэтому к выпуску она устареет. в от личии от основ, которые всегда актуальны.

знаю пример, где один разработчик писал книгу про свой инструмент. к моменту когда книга вышла, инструмент уже успел дважды обновиться, добавлены новые возможности, несовместимые со старыми.

поэтому нет смысла искать книги про инструменты. они или устарели, или их вообще не выпускали.

Привет, анончики, немного не по теме, но нужна ваша помощь.

Пишу диплом на тему "Безопасность веб приложений использующих базы данных". И не знаю, что написать в третьем разделе.

В первом разделе я просто описал основы веба и рассказал, во втором на примере сайта написанного на коленке показал уязвимости из списка OWASP top 10 и способы избавления от них.

Но еще не хватает 9 страниц, чтобы было минимальное количество страниц диплома, а я уже просто не ебу, что писать.

Подскажите, что там можно написать? Нужно какую-то аналитику, какие-то статистики, но хуй знает че писать и пиздец.

Прошу вашей помощи советом.

>>1096694
Позитив красивую статью про sql инъекции со статистикой когда-то на хабр выкладывали.

>>1096707
описания уязвимостей и методы борьбы с ними я уже написал, показывая на примере своего приложения написанного на коленке, теперь нужно немного какой-то аналитики, рассуждения.

Была идея выписать типичные ошибки юзеров, программистов, админов. Но в основном везде только для программистов и инфы на страницу хватит.

>>1096714
Ты же статистику просил. Так нагугли статью со статистикой встречаемости этих уязвимостей.

>>1096513
Основ чего??? Кто эти уязвимости ищет? Все пользуются оотовыми сплоетами, нет?

>>1096719
А есть статистика языков и фреймверков на которых уязвимые сайты написаны?

>1080006
>Думаю, это какой-то тестер из мелкой шарашки, клепающей говносайты для ООО и ИП
осайты для ООО и ИП.

двачую, быть пентестером - это быть червем пидором в пищевой цепочки ИБ. Работаю в крупной консалтерской компании загнивающего запада. ИБ аудиторы, ISO27001 консультанты, PCI DSS пидоры - глубоко уважаемые люди, клиенты их боятся, руководство уважает. В командировках живут в 4-5* гостиницах, синьоры-аудиторы летают бизнес классом, служебные жоповозки С класса. Требуется всего два скила: умение задать вопрос с чек листа, красиво пиздеть с клиентом.

Пентестеры при всех раскладах в жоппе. Если нихуя не нашел, то клиент обычно ноет: нахуя мы платили за вашего пентестера 1к евро за рабочий день? Если дохуя нашел, то клиент начинает пиздеть, что это все теоретические уязвимости, удоли!!!!111 из отчета мы уже пофиксили, XSS - это не уязвимость а вектор атаки, настоящий хакор не обойдет наш FW. При этом требуется дохуя скилов, глубокая специализация в одной из областей и понимание смежных областей. Постоянное самообучение и практика. Единственная отрада, можно подрочить в свободное от работы время на багбаунти программах и немного поднять бабла по фану.

>>1096802
А чем в твоей компании занимаются "ИБ аудиторы" ?

>>1096804
в основном Common Criteria и государственные заказы

>>1096810
Звучит не так сложно, в основном бумажная работа со стандартами? И что, если не секрет, входит в гос. заказы?

>>1096802
Двачую еще одного прозревшего.

>>1096740
Да. вордпресс и пхп самые дырявые.

>>1096833
>Звучит не так сложно, в основном бумажная работа со стандартами?
в этом и есть вся суть моей боли в области ануса. Аудиторы в основном работаю с бумагами, часто не имея реального опыта работы с технической частью ИБ. Рынок сформирован так, что клиентам не выгодно менять аудитора, бюджеты больше, профит высокий.

>И что, если не секрет, входит в гос. заказы?
хер его знает, что-то для НАТО делают, эмигрантам вход в такие проекты заказан

>>1096853
>в этом и есть вся суть моей боли в области ануса. Аудиторы в основном работаю с бумагами, часто не имея реального опыта работы с технической частью ИБ
ну, таких и в рашке полно, правда не уверен что они получают больше, чем пентестеры

>>1096838
Мне бы именно статистику, на которую можно было бы ссылаться. Есть какой-то поис по базам уязаимостей?

>>1096802
А есть такое занятие как введение безопасного программирования? Я например при аудите бы тупо менял все скул запросы на параметризированные не разбираясь можно ди использовать уязвимость или нет - имхо, так будет гораздо быстрее, тупо поиск по файлам.

Я так понимаю, что суажем в джангокоде и искать особо нечего?

>>1093530
>>1075748-кун

Ставь ссыдки нормально плес, с приложения тяжело искать

https://www.linguanet.ru/fakultety-i-instituty/fakultet-informatsionnoy-bezopasnosti-i-upravleniy-informatsiey/
Ваше мнение?

>>1096972
Ну хуй знает, посмотри где практику проходят, куда трудоустраиваются, погугли имена профессорского состава, группу вк в конце концов почекай на предмет отзывов

>>1096954
смотря где, аудит то проходит по выбранному стандарту. В PCI DSS есть воркшопы по безопасному программированию. Они обязательны если хочешь заветный сертификат. Но в сам код аудитор смотреть не будет, только бумажки проверит, что мол SDLC в компании есть, воркшоп прослушали, политиками обмазались. Пентестер тоже в код смотреть не станет, никто не оплатит анализ 100к строк кода, если можно сделать формальный black-box пентест с минимально возможным охватом тестирования.

Кроме SQLi есть еще много чего, глянь на OWASP Testing guide. В моей практике, чаще всего встречаются XSS и direct object reference.

>>1096994
> XSS
Сосет у шаблонизаторов, т.е. опять только пхп?

> direct object reference.
Проверки на стороне клиента? Ну это одна из вещей от которых фреймверкине защищают искаропки.

>>1097148
Хуле ты приебался, я вообще не снг. По сути есть че ответить?

>>1097163
По сути, если следовать всем рекомендациям по написанию безопасного софта, не выдумывать свои системы ААА, а использовать проверенные, построить SDLC, вероятно, что можно написать достаточно безопасный продукт. Чтобы во время пентеста не находили уязвимости из OWASP top 10 и школотроны не строчили на хабре очередной высер на тему: я перебирал ID в банкнейм и смог получить доступы платежам других клиентов.

Или что ты хочешь услышать в ответ?

>>1097182
> системы ААА
> SDLC
Переведи.

Вопрос был, в общем, что из названного того играет роль если писать не на голом пыхе?
Вообще есть что почитать именно про безопасную разработку? Или незачем вообще что-то читать, и так все работает?

>>1097529
В инете бесплатно надеюсь есть?

>>1097549
В душе не ебу. У меня бумажная. Если не можешь сам ответить на собственный вопрос, рекомендую завязывать с ИТ пораньше, не то, что даже с ИБ.