Яндекс, Специалист по безопасности веб-приложений

Специалист по безопасности веб-приложений

В компанию «Яндекс» требуется специалист по безопасности веб-приложений.

Требования:



опыт работы в области информационной безопасности – от двух лет;

знания и базовый опыт администрирования Unix и Windows;

знание сетевых технологий и протоколов;

глубокое знание принципов построения и работы современных веб-приложений;

глубокое понимание типовых угроз и уязвимостей веб-приложений, в частности, перечисленных в OWASP Top 10;

владение навыками ручного и автоматизированного тестирования безопасности веб-приложений;

опыт программирования на скриптовых языках (Python).

Обязанности:



тестирование безопасности веб-приложений компании (тесты на проникновение, анализ кода);

участие в проектах по разработке веб-приложений в качестве эксперта по информационной безопасности;

взаимодействие с разработчиками и менеджерами сервисов для устранения обнаруженных уязвимостей;

предоставление экспертизы в области безопасного программирования;

проведение семинаров, участие в исследовательской работе.

Условия:


Работа в московском офисе Яндекса полный рабочий день.

Подробнее об условиях работы в Яндексе
Подробнее: company.yandex.ru/job/vacancies/web_application_security.xml

PS Придется продемонстрировать свои знания ;)

Пассивная XSS в Яндекс.Деньгах

Яндекс, Деньги, два ствола XSS

История такая. На одном сайте увидел новость о том, что обновился сайт Мистера Фримена, решил заценить.

Зашёл на него и увидел там поле пожертвований Яндекс.Денег. По старой привычке бывалого скриптикидди вставил туда нетленные
[script]alert("")[/script] и нажал отправить:

Автор и продолжение.... habrahabr.ru/post/136531/

ИН_АТАК: перезагрузка

inattack.ruwww.inattack.ru/

Вот это и случилось — новый движок, новый дизайн и реальная возможность развиваться дальше. Конечно многое еще будет доделыватся/переделываться, но важно то, что начало этому положено!

Мы перезагрузились!

++++++++++++++++
Остается надеяться что раздел «Уязвимости» не будет отставать по времени публикования на англицких сайтах. И будут писаться статьи с чем то из оригинальных уязвимостей.

Теперь остается самое главное: наполнение контентом.