Яндекс, Специалист по безопасности веб-приложений

Специалист по безопасности веб-приложений

В компанию «Яндекс» требуется специалист по безопасности веб-приложений.

Требования:



опыт работы в области информационной безопасности – от двух лет;

знания и базовый опыт администрирования Unix и Windows;

знание сетевых технологий и протоколов;

глубокое знание принципов построения и работы современных веб-приложений;

глубокое понимание типовых угроз и уязвимостей веб-приложений, в частности, перечисленных в OWASP Top 10;

владение навыками ручного и автоматизированного тестирования безопасности веб-приложений;

опыт программирования на скриптовых языках (Python).

Обязанности:



тестирование безопасности веб-приложений компании (тесты на проникновение, анализ кода);

участие в проектах по разработке веб-приложений в качестве эксперта по информационной безопасности;

взаимодействие с разработчиками и менеджерами сервисов для устранения обнаруженных уязвимостей;

предоставление экспертизы в области безопасного программирования;

проведение семинаров, участие в исследовательской работе.

Условия:


Работа в московском офисе Яндекса полный рабочий день.

Подробнее об условиях работы в Яндексе
Подробнее: company.yandex.ru/job/vacancies/web_application_security.xml

PS Придется продемонстрировать свои знания ;)
Читать дальше

Влияет ли информационная безопасность на компании в России?

Как падали цены на акции Sony после взломов?
Вот тут написано: attrition.org/security/rant/sony_aka_sownage.html как падали цены на акции компании Sony.

Прошу заменить,
что в 2011-04-04 цена была 31.45$,
а 2011-12-19(сегодня) — 16,71$ = чистая случайность грубо говоря в 50%?

Кто-то мне сказал, что на репутацию компаний создающих сайты, такие взломы никак не влияют.
Интересно, а будут ли заказывать крупные компании, интернет магазины и финансовые компании — доверять держать персональные данные клиентов на сервере, где не уделяется внимание информационной безопасности и разработке ПО. Конечно сайты визитки клепать и верстку менять — не считается.

Стоит ли доверять разработку продукта — компании которая засветилась в небрежном отношении к прошлым своим продуктам?
Читать дальше

Debian snont настройка

Официальная документация по настройке www.snort.org/assets/167/deb_snort_howto.pdf

Change these lines:
Line #39 — ipvar HOME_NET 192.168.1.0/24 – make this match your internal (friendly) network
Line #42 — ipvar EXTERNAL_NET !$HOME_NET
Line #80 — var RULE_PATH ./rules – this assumes /etc/snort/rules
Line #186-#190 comment out all of the preprocessor normalize_ lines
Line #366 — add this: output unified2: filename snort.log, limit 128
Line #395 — delete or comment out all of the “include $RULE_PATH” lines except “local.rules”

для новой версии snort-2.9.1.tar.gz

Change these lines:
Line #45 — ipvar HOME_NET 192.168.1.0/24 – make this match your internal (friendly) network
Line #48 — ipvar EXTERNAL_NET !$HOME_NET
Line #98 — var RULE_PATH ./rules – this assumes /etc/snort/rules
Line #235-#239 comment out all of the preprocessor normalize_ lines
Line #471 — add this: output unified2: filename snort.log, limit 128
Line #503 — delete or comment out all of the “include $RULE_PATH” lines except “local.rules”

./configure --with-mysql --with-libpcre-libraries=/usr/src/snort/libdnet-1.12/src/.libs/ --with-dnet-includes=/usr/src/snort/libdnet-1.12/include/ --enable-build-dynamic-examples --enable-gre --enable-reload --enable-linux-smp-stats --enable-zlib --enable-dynamicplugin --enable-perfprofiling --enable-ipv6
Читать дальше

Suricata 1.0 новая замена IDS Snort

Организация Open Information Security Foundation (OISF), спонсируемая Министерством национальной безопасности США, объявила о выпуске нового движка с открытым кодом для обнаружения вторжений — Suricata 1.0.

Новый движок Suricata позиционируется как замена популярному IDS-решению с открытым кодом Snort, созданному в 1998 году. Президент OISF заявил, что проект Suricata призван снять некоторые ограничения, присутствующие многие годы в Snort. По его словам, например, многопоточная архитектура Suricata позволяет добиться высокой производительности на современных многоядерных и многопроцессорных системах, чего так не хватает Snort в современных реалиях.

Из других интересных особенностей Suricata отмечается возможность фильтрации по репутации IP-адресов, т.е. помечать специальным флагом трафик от источников, которые известны как «плохие». Правила в Suricata могут применяться в зависимости от автоматически определяемого протокола, а не указанного сетевого порта.

Как сообщается, Suricata был написан с нуля при поддержке компаний, специализирующихся на ИТ-безопасности (среди них называются Endace, NitroSecurity и Everis), и призван стать инновационным решением.
.

Релиз Suricata 1.0.0 распространяется под свободной лицензией GNU GPL и уже доступен для свободного скачивания на сайте OIFS.

www.openinfosecfoundation.org/
Читать дальше