🔐 Следующим поколением средств защиты после WAF стал WAAP (Web Application and API Protection). Термин впервые начал использовать Gartner для описания защиты современных, постоянно меняющихся веб-сервисов. И там, где используется термин API, важно упомянуть про API-First, подход к разработке серверных приложений, при котором API является наиболее важной частью продукта.

📌 Что имеем на выходе? К традиционным средствам защиты (WAF) должны быть добавлены следующие возможности:

☑️ Защита от ботов/скрейпинга, DDoS-атак уровня L7 и угроз OWASP top 10
☑️ Защита API
☑️ Учет изменений в веб-приложениях
☑️ Использование TI-feed'ов для блокировок
☑️ Использование продвинутых механизмов ограничения количества запросов
☑️ Использование смарт-капчи
☑️ Использование механизмов ML для выявления аномалий, мутаций и построения датасетов

😎 Лука Сафонов рассказал подробнее о WAAP и поделился своими мыслями.

#security

🔍 Sensecon 23: от драйверов Windows к практически полностью рабочему EDR

Было ли у вас такое, когда вам пришлось реализовать руками какой-то софт, чтобы понять его работу под капотом? Именно так получилось у автора статьи про антивирус/EDR.

Сначала он рассмотрел историю антивирусов, разобрался, как они работали и почему полагались на драйвер ядра, затем разобрался, как создать собственный драйвер ядра и, наконец, как превратить его в почти полностью работающий EDR.

👉 Читать

#practice #security

💬 Что такое GraphQL batching и как ее можно использовать для обхода ограничения скорости?

GraphQL batching (пакетная обработка) позволяет отправлять несколько запросов или мутаций на эндпоинт GraphQL в одном запросе, используя массивы или псевдонимы. После чего каждый запрос/мутация выполняется, и в ответ возвращается набор результатов.

Это позволяет обойти ограничение скорости, потому что вместо отправки n запросов на определенный эндпоинт можно отправить один запрос, содержащий n запросов/мутаций.

👉 Подробнее

#вопросы_с_собесов

🥇 Спортивная мотивация и мотивация в IT, что общего?

Рассказываем, как использовать психологические инструменты из спорта, чтобы увеличить внутреннюю мотивацию и повысить продуктивность.

👉 Читать статью
👉 Зеркало

⚒️ Active Directory Enumeration для Red Team специалистов

Какая главная задача для команды red team, кроме «получить максимальный импакт»? Конечно, остаться как можно дольше незамеченным для средств защиты и команды blue team.

Вы когда-нибудь задумывались, как на той стороне могут отслеживать подозрительную активность LDAP? Гайд от MDSec подробно рассказывает об этом, а также делится подходами к operational security для red team команд, проводящих разведку LDAP.

#pentest #recon #redteam

🤔 Как нестандартно войти в АйТи

Многие IT-специалисты приходят в эту сферу нестандартным путем — кто-то начинал как самоучка, а кто-то стал программистом случайно. Был ли у вас необычный старт карьеры в IT?

Расскажите нам свою историю! Ваш опыт может вдохновить тех, кто мечтает о переменах, но пока не решается начать.

❤️ С нетерпением ждем ваших комментариев!

Самые полезные каналы для программистов в одной подборке!

Сохраняйте себе, чтобы не потерять 💾

🔥Для всех

Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы

#️⃣C#

Книги для шарпистов | C#, .NET, F#
Библиотека шарписта — полезные статьи, новости и обучающие материалы по C#
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel

☁️DevOps

Библиотека devops’а — полезные статьи, новости и обучающие материалы по DevOps
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования

🐘PHP

Библиотека пхпшника — полезные статьи, новости и обучающие материалы по PHP
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты

🐍Python

Библиотека питониста — полезные статьи, новости и обучающие материалы по Python
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты

☕Java

Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков

👾Data Science

Книги для дата сайентистов | Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы по Data Science
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту

🦫Go

Книги для Go разработчиков
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go

🧠C++

Книги для C/C++ разработчиков
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++

💻Другие профильные каналы

Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика

💼Каналы с вакансиями

Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности

📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈

🤖Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT

Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *

* Организация Meta запрещена на территории РФ

🔐 В каждой версии Windows (начиная с Vista) есть стандартный компонент UAC (User Account Control). Он включен по умолчанию и предназначен для разделения привилегий путем требования «согласия» админа.

Несмотря на то, что он был разработан для добавления дополнительного уровня безопасности от несанкционированных изменений ОС, оказалось, что он полон дыр.

Существует множество известных способов обойти UAC и выполнять действия с повышенными привилегиями без каких-либо запросов или согласия, предоставляемых пользователем в интерактивном режиме.

🤯 Один из таких — использование контекстов дейтаграмм SSPI (Security Support Provider Interface). Под катом — ресёрч на эту тему.

#pentest #redteam #research

🧑‍💻 Статьи для IT: как объяснять и распространять значимые идеи

Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.

Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.

Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.

👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.

🩷👨‍💻 Пока влюбленные шлют друг другу валентинки, айтишники отмечают свой профессиональный праздник. 14 февраля считается неофициальным днем компьютерщика.

🤦‍♂️ Так совпало, что именно в этот день в 1946 году общественности был продемонстрирован первый работающий электронный компьютер ENIAC I. Именно к этому событию приурочено празднование.

💬 А ведь раньше действительно айтишников называли компьютерщиками… Или кого там так называли? Кто винду мог переустановить?

⌨️ Пример однострочника для быстрого обнаружения XSS в PHP-файлах:

rg --no-heading "echo.*\\\$_GET" | grep "\.php:" | grep -v -e "(\$_GET" -e "( \$_GET" -e "esc_" -e "admin_url" -e "(int)" -e htmlentities

#bugbounty #tips

💸 Рост или падение? Изменение зарплат в IT за 2023 год

Чтобы разобраться в этом вопросе, «Библиотека программиста» решила провести опрос среди читателей издания. Мы хотим понять, выросли ли ваши зарплаты в 2023 году и если да, то на сколько процентов. Или может быть наоборот — ваши доходы снизились на фоне кризисных явлений в экономике?

Примите участие в нашем коротком опросе и поделитесь своим мнением! Вместе мы проанализируем текущую ситуацию на рынке труда в IT-сфере и поймем, что ждёт эту отрасль дальше. Ждём ваших ответов!

Опрос займёт у вас примерно 4 минуты.

👉 Ссылка на опрос

____ — самый недооцененный, по вашему мнению, инструмент для поиска багов 😎️

#холивар

🤩 Awesome-tunneling — коллекция альтернатив ngrok и других инструментов для туннелирования, подобных ngrok.

👉 GitHub

#tools #redteam

🤔 Остаться или уйти? Оптимальный срок работы на одном месте

Вы любите свою работу, интересные проекты вам гарантированы, зарплата повышается каждый год. Но вот уже 5 лет вы трудитесь в одной и той же компании. Не пора ли что-то изменить, пока мотивация окончательно не улетучилась?

Многие опытные айтишники сталкиваются с такой дилеммой. С одной стороны, текущее место работы устраивает. С другой — хочется разнообразия, новых задач и знаний.

Должен ли современный IT-специалист менять работу чаще, чем раз в 5 лет? Или лучше наращивать экспертизу в рамках одной компании? А может дело совсем не в сроках, а в качестве задач и развитии карьеры?

👉 Расскажите о своём опыте в нашем новом опросе 👈