Всем Security! Скажем «НЕТ» интернет-злоумышленникам

Усі статті, обговорення, новини про тестування — в одному місці. Підписуйтеся на QA DOU!

Всем Security!
Скажем «НЕТ» интернет-злоумышленникам.
А ваш WEB-проект защищен от взломов? Мы учимся тестировать безопасность, а вы получаете тестирование проекта.
Тестировщики компании Softengi развивают свои скилы и осваивают специализации. Уже освоили Usability (Usability шара). Теперь Softengi Security Group тестирует безопасность вашего проекта.
Проведем тестирование безопасности за еду. За хороший результат работы Product Owner отобранного проекта угощает нас пиццей. Так мы разрушим миф о шаре и «все бесплатное плохо».
После тестирования вы получаете отчет о текущей защищенности WEB-проекта, с подробным описанием работ и их результатов, перечнем уязвимостей с доказательством взлома системы.
Мы вас и ваши уязвимости не бросим. Выдаем рекомендации по устранению проблем и даем практические советы по снижению вероятности следующих взломов.

Security Group выбирает один WEB-проект для проведения Security-тестирования по критериям:
1. Проект разработан в Украине
2. WEB-проект
3. Product Owner предоставляет основные (бизнес) сценарии использования (Use Cases)
4. Языковая локализация — рус., укр., eng (один из языков должен присутствовать на сайте).
5. Во время проведения тестирования сайт не будет дорабатываться (вносится любые изменения)
6. Отсутствие ошибок в базовой функциональности.

Для участия, пожалуйста, заполните форму:
docs.google.com/...​KNyq5lF88jFgwEzo/viewform

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Всем спасибо за высказанное мнение. Команда состоит как из тестировщиков, так и из опытных разработчиков, которые смогут провести тестирование на должном уровне. Самое главное — настроение у нас позитивное) А всем отправившим заявки спасибо за доверие.

www.drupal.org/drupal8-security-bounty [ Drupal 8 Security bug bounty program: Get paid to find security issues in D8 ]
недавно Mozilla and Chrome раздавали деньги за найденные баги, возможно есть активные программы в настоящий момент, в общем займитесь делом... )

если сказать иначе, 99% решений клиента используют Опен Сурц?
ссылку на гитхаю думаю предоставлять нет необходимости...

из серии «как просто собрать список тех, кто уже понял, что у него есть что-то ценное, но ещё не начал это защищать»

Сорри, но с такими навыками: «basic knowledge of software development life cycle, software testing life cycle » и самостоятельно освоенным экселем — это звучать должно как: Скажем «ХАЛЯВА» интернет-злоумышленникам ))

В команде, которая будет заниматься Security-тестированием сейчас находится 8 человек.

Security-тестирование выучить методом " поиска проекта для тестирования с целью обучения" будет достаточно проблематично. Вопрос — вы вручную собираетесь тестировать (судя по тому что Вас 8 человек) ?

Подход будет выработан после выбора конкретного проекта.

простите за критику, но, аутсурц компания с 2009г? а теперь, и только теперь, появился цесурити департамент и работает за еду?) омг,,, это маркетинг фейл!

Вы не объективны, что я вам еще скажу:) из-за этого и неверный вывод сделали.
Компания растет, и для тестирования секьюрити мы решили поискать «живые» проекты. Это удобно — и свои ребята обучаются, и проекты получают тестирование.

Не спам, ребята, а поиск проекта для тестирования с целью обучения.

Ну как это выглядит для меня:

1. Мы хз кто (простите ребята) без опыта и рекомендаций
2. Пустите нас покопошиться в вашем реальном продукте (NDA, коммерческая тайна, доступ во внутреннюю сеть конторы и тд), дайте юзер-стори (и выделите человека отвечать на наши вопросы)
3. Заморозьте работу над продуктом (или выделите нам отдельный сервак)
4.

Мы вас и ваши уязвимости не бросим
особенно доставляет, если это банковское ПО и в нем таки найдется реальная дыра, позволяющая слить, к примеру, номера карт клиентов (мы же помним, что вы ноунейм, ребята))
5. Для базового тестирования секьюрности есть такие классные штуки как Burp (не думаю, что он оттестит намного хуже тех, кто учится), а для серьезного держат штатного спеца или заказывают у неноунейм контор.

Короче, я к чему это все — потенциального головняка от вас много, а вот польза сомнительная.

Мы не просим доступ к внутренней сети и/или базе напрямую.
Замораживать проект не нужно, достаточно развернуть отдельное окружение, на которое не будут вноситься правки.

Т.е. кто-то должен развернуть вам сервак с внешним айпишником, суппортить его и тд) А как вы хотите тестировать ту же базу на уязвимости, не имея к ней доступа?) В любом случае, вас надо запустить в продукт так или иначе)

Ни движки известных баз данных, ни СУБД мы тестировать не будем.
Мы будем тестировать известные типы уязвимостей, которые могут предоставить доступ злоумышленнику к базе.

Это Burp умеет делать)) Подозреваю, что им вы и пользуетесь)

А смысл такое делать бесплатно?

А смысл руками перебирать запросы?))

Есть смысл почитать чуть выше и обнаружить:

для тестирования с целью обучения.

Ну я о том и говорю — оно кроме вас самих никому нафиг не упало)))

Мне упало, правда не «нафиг», но упало

Ну вам-то понятно, опыт получить) А потенциальным «клиентам»?)

Ну Вы же не будете отрицать того, что есть разные клиенты и запросы у них тоже разные?
Вы хотите окунуть данный пост в лужу «бесполезности», но я его таковым не считаю ИМХО)
Ребята хотят использовать свои уже существующие навыки и знания на живом проекте да еще и бесплатно. Участвуя примерно в таком же событии (не в разрезе безопасности) я получил огромный опыт и заказчик остался более чем доволен. Так что такие предложения нужно только поощрять, а не топить субъективными сомнениями. Люди хотят развиваться, и они это делают! За что, собственно, и респект.

По-моему, в этой теме нет никого, кроме меня и

8 человек
из «команды». Хочется использовать навыки — есть куча вполе живых некоммерческих опенсорс проектов, где только рады будут помощи.
А то, что я вижу сейчас — это какой-то кривейший самопиар с использованием свежесозданных аккаунтов, ставящий под угрозу репутацию Softengi.

Підписатись на коментарі