опять-таки, вы говорите про инъекции и думаете, что они сводятся к ’ OR ’1’=’1, которые покрывает санитизация, а проверки, начиная от среднего уровня сложности — слепой инъекции, out-of-band, обходов фильтров и WAF, эксплойтов stored процедур, обскурных кейсов — где уже нужны тех знания и компетенция, использование сторонних утилит — всё это не укладывается в понятие «я же сама себе могу чашку помыть», в итоге выйдет плохо помытая чашка :)

в треде обсуждают, что якобы не нужны базовые знания, и достаточно «вайбового» сек-тестинга уровня уборщицы. советую пройти базовые лабораторные на hack the box — уже в первом уроке вас ждёт виртуализация с линуксом, который здесь осудили, а также работа с терминалом и эксплойтами. после этого можем вернуться к этому треду, чтобы понять, с чем на самом деле придётся сталкиваться даже на базовом (поверхностном) уровне, и чтобы получился конструктивный разговор в этом домене. даже за вышеупомянутый owasp top 10 — люди не понимают глубину и какие техзнания необходимы для эвалюации проблем. круто, если тестировщик или любой другой инженер этим интересуется, но делать из этого какой-то цирк в стиле вайб-кодинга — такое себе

когда человек некомпетентен в каком-либо направлении, он не может объективно оценивать действия и выполненую работу других, так как не разбирается в направлении, но при этом может влиять на твою зарплату — звучит максимально абсурдно, успехов

если менеджмент требует от вас такую видимость с тестирования безопасности — это ваше дело, компании бывают разные: после некоторых и в цирке не смеёшься, разговор без конструктива при отсутствии знаний в пентестинге

не получил ответа, лучше не браться за то, что не можешь сделать компетентно — галочный комплаенс бесполезен, особенно если всё выполнять вручную, как в случае с инъекциями, когда существуют open source-утилиты вроде sqlmap, способные покрыть такие сценарии, о которых ты даже не подумаешь, более того, если отсутствует санитизация ввода — это уже вопросы к разработке и внутренним процессам, базовые сканеры со статическим анализом кода находят такие уязвимости автоматически, всё это легко автоматизируется, нет смысла устраивать клоунаду с ручными проверками и тратить ресурсы впустую

базовый вопрос с овасп топ 10: атака через разрыв цепочки доверия в микросервисной архитектуре с JWT, SSRF и уязвимостью в логировании (Log Injection + RCE),
подсказка: в курсе на сертификат в линкедине этого не было)

ну перфоманс еще норм, jmeter для себя выучить лишним не будет, если это не бигдата или стриминг, то можно и нагрузить на тестеров с девопсами, но пентестинг — mickeymouseTech компании с галочным комплаенсом) самый кринге — тестеры (не пентестеры) с пентест сертификатами уровня 2-3ч курсов в линкедине)

🤦

все эти базовые уязвимости покрываются SonarQube с CodeQL, сомневаюсь от импакта для проэкта сидеть дергать это все, тем более вручную, когда есть sqlmap на питоне)

у каждого своё понимание, кто такой технический инженер, к сожалению основная часть это специалисты, которые работают годами, но не понимают как работают процессы «под капотом», мыслят как фреймворк-инженеры, в добавок новая категория вайб-кодеров отдельная габелла, вместо чтения документации полагаются на скрейп дату в аишке.
что касается знаний Linux и нетворкинга — это база в пентестинге, без них просто не о чем разговаривать, в тестировании тоже бывают совершенно разные проекты, от embedded и low-level до чисто сервер-сайда на Linux, поэтому, как и везде: каждому своё место, задачи и соответствующая зарплата, главное — осознавать свои сильные и слабые стороны и не выдавать себя за эксперта во всём

сори, но статья выглядит больше как вайб постинг после получасового интро с курса веб пентестинга

facepalm

очень поверхностно, для базового уровня необхидмо знание:
1. линакса (большинство утил и эксплоитов на линаксе, особенно arch-based дистро, это и работа с пермишенами, шел скриптинг, понимание процессов и команд лайнеров которые необходимые для реверс инжиниринга и тд.
2. нетворкинг (глубокое понимание протоколов, работа с tcpdump, wireshark и тд)
3. базовые навыки программирования (пайтон, баш) для модификации эксплоитов, кастомные скрипты и их автоматизация, без этой базы дальше углубляться нет смысла, к сожалению, основная часть тестировщиков этим не интересуется, без этой базы нет смысла даже открывать HTB, по поводу JWT, заголовок и тело JWT лишь закодированы в Base64URL и доступны для чтения без ключа, безопасность же обеспечивает подпись, сформированная с помощью секретного или приватного ключа, при любом изменении данных подпись не совпадёт, и токен станет недействительным (кейс

та закодувати з тим самим алгоритмом токен.

) не валидный.

Глупый заголовок, убрали только людей, представляющих компании, которые попали под санкции. Linux просто подчиняется требованиям санкций

Please accept all of our apologies for the way this was handled. A
summary of the legal advice the kernel is operating under is

If your company is on the U.S. OFAC SDN lists, subject to an OFAC
sanctions program, or owned/controlled by a company on the list, our
ability to collaborate with you will be subject to restrictions, and
you cannot be in the MAINTAINERS file.

Anyone who wishes to can query the list here:
sanctionssearch.ofac.treas.gov

Again, we’re really sorry it’s come to this, but all of the Linux
infrastructure and a lot of its maintainers are in the US and we can’t
ignore the requirements of US law. We are hoping that this action
alone will be sufficient to satisfy the US Treasury department in
charge of sanctions and we won’t also have to remove any existing
patches.

lore.kernel.org/lkml/e7d548a7fc835f9f3c9cb2e5ed97dfdfa164813f.camel@HansenPartnership.com/
ofac.treasury.gov/media/932951/download?inline

типичная стратегия сокращения, новая политика вытеснит недовольных работников, компании не придется проходить через сложный процесс официальных увольнений

🔥

когда написал с chatgpt и ни с чем не работал

playwright можна писати на python разом з pytest не обмежуючись ні у чому, що курив коли писав за старий cypress?

As an AI language model, I’m not able to perform testing or auditing

А ви в курсі, що Javascript — це дуже погана мова для автоматизації.

hahaahahahhahahahahahaha