Як провести тестування на безпеку: керівництво для Manual QA

Ця стаття націлена на підростаюче покоління QA і розробників, яким цікаво дізнатися щось про уразливості: з чого почати, якими інструментами можна користуватися початківцю в цій справі (практичні поради). У матеріалі буде викладено те, що я хотів би прочитати на початку своєї кар'єри Security QA. Вступ Коли я був Manual QA, мені завжди здавалося, що шукати уразливості дуже важко, що цим можуть займатися тільки ті люди, які вміють програмувати. Тому я вибрав спочатку шлях автоматизатора, так як часто QA розвиваються саме в цьому напрямку. Але після більш ніж півтора роки на посаді автомейшена мені стало нудно... так-Так, стало нудно, так як мені нецікаво було весь час писати код і не спілкуватися з командою девелоперів, продактами та іншими членами команди, як я робив це, коли був мануальщиком. Недовго думаючи, в якому напрямку мені розвиватися... Точніше, на це вплинуло кілька атак ловців вразливостей на наш проект.

Опубліковано: 06/08/19 @ 10:00
Розділ Безпека Блоги Читати далі...

Lead Software Developer з Монреаля — про роботу на YouPorn, головних уроках переїзду за кордон і те, як любов привела в IT

Костянтин Артемов працює в компанії MindGeek в канадському Монреалі на позиції Lead Software Developer. У нього 10 розробників в безпосередньому підпорядкуванні і 21 — спільна команда. Хлопці розробляють і підтримують два високонавантажених сайту з загальною кількістю відвідувань приблизно 20 мільйонів чоловік в день. Артемов безпосередньо відповідальний за один з найпопулярніших у світі порносайтів YouPorn і подібний йому Tube8. Як говорить сам Костянтин, бажання поступати в Харківський університет радіоелектроніки було не до кінця усвідомленим. Комп'ютери подобалися, як і багатьом дітям, робити що-то на BASIC йому було цікаво зі школи, але бажання працювати в цій сфері не було. Цей шлях для Костянтина почався з університету і любові. У 2013 році він з дружиною іммігрував до Канади, але не по робочому релокейту, а тому, що просто хотів кращого життя для сім'ї.

Опубліковано: 15/07/19 @ 07:51
Розділ Безпека Читати далі...

Поради сеньйорів: як прокачати знання junior HR/Recruiter

Поради сеньйорів — постійна рубрика, в якій досвідчені фахівці діляться практичними порадами з джуниорами — загальні лайфхаки по навчанню, які книги та ресурси читати, які навички освоювати і багато іншого. У цьому випуску говоримо про HR/рекрутингу. Віка Придатко , Founder VP Team 18 років в рекрутингу, 12 років у ІТ-рекрутингу Отже, хороший рекрутер — перш за все (!) небайдужий. Тому що саме з байдужості народжуються маячні листування і неадекватні пропозиції вакансій. Пише грамотно. Жахливо, звичайно, таке включати в критерії, але реалії такі. Володіє світоглядом. З ним цікаво поговорити не тільки на теми рекрутингу. Читає якісну літературу, робить висновки. Читати його фейсбук/примітки/блог — одне задоволення. Корисно і цікаво. На його сторінці немає тупеньких відео, неперевірених перепостів та тестів «яке ти тварина». Знає ринок і людей на ньому, не пропонує вакансію Python-девелопера Максу Іщенко. Ввічливий з кандидатом будь-якого рівня синьерити, а не тільки з синьером.

Опубліковано: 10/07/19 @ 07:00
Розділ Безпека Блоги Читати далі...

Туторіал по розгортанню Rails-додатків на Amazon за допомогою Docker. Частина 2

Всім привіт! У цій частині ми продовжуємо наш туторіал по розгортанню Rails-додатки на AWS з допомогою Docker. Нагадаю, що в попередній частині туториала ми: розглянули переваги Docker для розгортання додатків; запустили наш Spree-додаток і всі залежні сервіси на локальній машині. Яку проблему вирішуємо Після перевірки коректності роботи програми в локальному оточенні, необхідно розгорнути ідентичну інфраструктуру в хмарі. Цьому завданню й присвячена друга частина нашого туториала. Отже, приступимо до роботи! Рішення: AWS ECS ECS запускає ваші контейнери в кластері примірників Amazon EC2 з попередньо встановленим Docker-му. ECS керує установкою контейнерів, масштабуванням, моніторингом та управлінням ними через API і Консоль управління AWS. Ви можете розмістити і запустити Docker контейнер програми на EC2 вручну. Але ви позбавите себе наступних речей: Безпека.

Опубліковано: 13/06/19 @ 11:44
Розділ Безпека Читати далі...

Крос-культурна комунікація за Хофстеде: дані замість здогадок

Мене звуть Юрій, і з 2017 року я працюю в компанії HYS Enterprise Scrum-майстром. Мої типові завдання мають на увазі в тому числі фасилітацію різноманітних процесів зустрічей між представниками різних культур і ментальностей. Одного разу я втомився бруднити блокнот чорнилом і вирішив систематизувати свої спостереження і нотатки, але «винахід велосипеда» відклалося завдяки пошуку Google і працям Герта Хофстеде, які з тих пір стали гарною підмогою в моїй роботі. Матеріал може бути корисний тимлидам, проектним менеджерам, проповідникам і практикам Agile-підходів, сейлзам і всім, хто хоче прокачати свої комунікаційні навички, грунтуючись на даних. Сьогодні дивний день: пробок було менше звичайного, чергу до кавомашині теж відмінили — і ось ти в переговорні наодинці з З з тієї сторони. Між вами 30 мс пінгу і незручне мовчання: ти прийшов на стендап на 3 хвилини раніше, і треба про щось поговорити, поки команда не зібралася. Ем-м-м...

Опубліковано: 12/06/19 @ 10:01
Розділ Безпека Читати далі...

Виведення сайту по продажі торгового обладнання в топ 3

Клієнт Компанія спеціалізується на проектуванні, виготовленні і монтажі стелажів і торгового устаткування. Наше завдання Вивести максимум пріоритетних запитів в топ-3. Вихідні дані, проблеми проекту Регіон: Україна
Пріоритетна пошукова система Google
Початок робіт: 2 червня 2017
На сайті були «заспамленние» однаковими фразами мета-теги. Тексти — не оптимізовані і частково неуникальны. Код сайту містив суттєві помилки, були налаштовані не всі необхідні редиректи, технічні сторінки не закриті від індексації, контент дублювався.
Мобільна версія сайту неправильно відображалася при скануванні пошуковими ботами.
Посилальний профіль був дуже слабким: великий відсоток неякісних донорів, поганий анкор-лист.
У топ-3 було до 5% цільових запитів, зростання органічного трафіку не було. Внутрішня оптимізація На першому етапі робіт був проведений повний технічний аудит сайту.

Опубліковано: 10/06/19 @ 06:30
Розділ Безпека Пошуковики Читати далі...

Із зони комфорту на європейську конференцію: як я підготувався за 28 днів і виступив вперше

Привіт, мене звуть Гліб, я працюю в Django Stars на позиції Senior Software Developer. Сім років тому один хороший хлопець (привіт, Niko Skrypnik!) привів мене в світ Python, і з тих пір я працюю в сфері web, пройшовши шлях від створення сайтів для баптистів з Огайо і езотериків з Таїланду до розробки fintech/CRM/real estate продуктів. Публічні виступи ніколи не були моїм коником, але так вийшло, що в квітні 2019 року я розповів про те, як і навіщо використовувати SQLAlchemy Core у проектах на Django. І одразу зі сцени головною конференції для Django community у Європі — DjangoCon Europe 2019. Виступ на конференції Як я зважився виступити на конференції Відразу Хочу зазначити, що я — не та людина, яка може з легкістю говорити ротом, концентрувати на собі увагу оточуючих і вже тим більше штовхати публічні промови. В інтернетах пишуть, що це називається глоссофобией або страхом сцени, в моєму випадку в гармонійному поєднанні з інтровертністю як такої.

Опубліковано: 14/05/19 @ 10:21
Розділ Безпека Читати далі...

Ruby/Rails дайджест #29: перший реліз-кандидат Rails 6, оновлення Ruby до 2.6.3, анонс складу спікерів RubyC

Всім привіт! Відкриємо наш дайджест новиною про те, що Rails 6 буде підтримувати версії Ruby тільки новіше 2.5. Також був опублікований звіт про прогрес роботи над Ruby 3.0. А ще був анонсований повний склад спікерів конференції RubyC, яка відбудеться 14-15 вересня в Києві. Тренди в співтоваристві Ruby Команда розробки Ruby переїхала з SVN на Git. У квітні Ruby Toolbox виповнилося 10 років. Опублікований перший реліз-кандидат Rails 6.0.0. Релізи react-rails 2.5.0 — новий реліз гема для інтеграції React в Rails додаток; searchkick 4.0.0 — вийшла четверта версія гема для роботи з повнотекстовим пошуком через Elasticsearch; faktory 1.0.0 — оновлення движка для обробки фонових завдань; Ruby 2.6.3 — квітневий реліз Ruby 2.6.3; Rom 5.0 і rom-sql 3.0 — нові версії альтернативних ORM. Почитати Ruby 2.7 — Pattern Matching — First Impressions — перші враження від pattern matching в Ruby 2.

Опубліковано: 04/05/19 @ 07:00
Розділ Безпека Читати далі...

Ruby/Rails дайджест #29: перший реліз-кандидат Rails 6, оновлення Ruby до 2.6.3, анонс складу спікерів RubyC

Всім привіт! Відкриємо наш дайджест новиною про те, що Rails 6 буде підтримувати версії Ruby тільки новіше 2.5. Також був опублікований звіт про прогрес роботи над Ruby 3.0. А ще був анонсований повний склад спікерів конференції RubyC, яка відбудеться 14-15 вересня в Києві. Тренди в співтоваристві Ruby Команда розробки Ruby переїхала з SVN на Git. У квітні Ruby Toolbox виповнилося 10 років. Опублікований перший реліз-кандидат Rails 6.0.0. Релізи react-rails 2.5.0 — новий реліз гема для інтеграції React в Rails додаток; searchkick 4.0.0 — вийшла четверта версія гема для роботи з повнотекстовим пошуком через Elasticsearch; faktory 1.0.0 — оновлення движка для обробки фонових завдань; Ruby 2.6.3 — квітневий реліз Ruby 2.6.3; Rom 5.0 і rom-sql 3.0 — нові версії альтернативних ORM. Почитати Ruby 2.7 — Pattern Matching — First Impressions — перші враження від pattern matching в Ruby 2.

Опубліковано: 04/05/19 @ 07:00
Розділ Безпека Читати далі...

Подорожі, розвиток та рівні права усім: web-аналітик Галина Харківська про роботу в Booking та життя в Амстердамі

Галині Харківській двадцять чотири роки, вже рік вона працює web-аналітиком у Booking.com. Ще зі школи дівчина знала, що пов'язаність яже життя зі статистикою, адже захоплювалася математикою й обчисленнями, скільки себе пам'ятає. Тому після закінчення фізико-математичного ліцею вступила на теоретичну й прикладну статистику до ЛНУ імені Франка. Для DOU Галина розповіла, як потрапила до Booking.com і як це зробити іншим, а також про умови роботи й плюси, які одержує кожен працівник найбільшої технічної компанії у сфері подорожей. Я народилася й зростала у Львові. Спочатку навчалася у фізико-математичному ліцеї. Серед учнів фізмату було дуже популярно обирати фах програміста, і багато моїх однокласників пішло на факультет математики й інформатики. А я обрала інший шлях — вивчати статистику на механіко-математичному факультеті. Коли обрала цей фах, то знала про нього хіба ті, що є така професія, як аналітик даних, альо як у ній розвиватися, не мала жодного уявлення.

Опубліковано: 22/04/19 @ 07:00
Розділ Безпека Читати далі...

Увагу Google Recaptcha v3 + Contact Form 7

Сьогодні трапилася ситуація, яка змусила згадати що є блог і в нього потрібно писати. 90% а може і більше сайтів, користуються контактною формою і так повелося, що як правило за роботу цієї контактної форми відповідає плагін Contact Form 7 плагіну цього вже не перший рік і він відмінно зарекомендував себе як плагін для простої контактної форми або для складних форм замовлень з умовами та безліччю полів. У грудні 2018 в плагін додали сумісність Google Recaptcha v3 і повністю відмовилися від v2 (там де потрібно натискати «Я не Робот» і відгадувати картинки). Це дуже здорово і зручно для користувача, тому що нічого ніде не потрібно вводити, вирішувати приклади, шукати зображення і витрачати час на розгадування капчі, але є одне але. Якщо відвідувач заповнює форму з підозрілого адреси (припустимо громадський Wi-Fi) який гугл вважатиме «Поганим джерелом», то при заповненні форми користувач не отримає повідомлення про те, що щось не так з капчі, та й що з нею може бути якщо її немає.

Опубліковано: 19/04/19 @ 01:11
Розділ Безпека Блоги Пошуковики Читати далі...

Еволюція зарплат: як Senior ASP.NET розробник доріс до $5000

Ми знайшли Senior Fullstack ASP.NET розробника, який за 11 років доріс до позиції з зарплатою $5000, і запропонували йому анонімно розповісти про своєму кар'єрному шляху. Втім, наш герой був не проти розкрити себе, і деякі «явки і паролі» залишилися в тексті. Як все починалося Перший ноутбук на 486-му процесорі з передвстановленою Windows 3.11 потрапив мені в руки в 1996 році, мені було 10 років. Як і належить, Windows закінчує свій термін служби, і все, що залишилося — це Norton Commander. А в нетрях HDD хтось залишив QBasic з довідкою . Навіть зараз складно уявити більш зручний інструмент для навчання програмуванню. Переходиш в Screen Mode — і перед тобою полотно для малювання анімацій циклом. Можна зліпити гру 0-0. У нього навіть біпер є і інтерпретація цього миттєво одним натисненням. Потім я пристрастився до Delphi 4. Формошлепил, зробив систему для проходження тестів в кабінеті інформатики, генератор курсових, гру типу «Козаків» і вірус «Фантомас».

Опубліковано: 03/04/19 @ 10:47
Розділ Безпека Читати далі...

Як просувати сайт послуг на західному ринку: 5 методів

Внутрішня оптимізація та підготовка сайту до просування
– Юзабіліті
– Аудит технічних характеристик
– Внутрішня SEO-оптимізація
Линкбилдинг під західний ринок
– Прес-релізи
– Реєстрація на сабмитах
– Сайти відгуків та Q&A
– Пропагандистської та гостьові пости
– Крауд-маркетинг
– Спеціальні методи просування
Коротко про головне Багато власників сайтів з західної ЦА переконані, що просуватися на цей сегмент складно і витратно. Частина правди в цьому є. Головна складність західного линкбилдинга — культурний і мовний бар'єр, для подолання якого мало «прокачати» англійська до рівня intermediate. Саме пошук хорошого виконавця значно збільшує посилальний бюджет. Однак, експорт послуг на Заході приносить більше доходу, ніж в країнах СНД. Тому результат коштує своїх витрат. Ця стаття про те, як вийти на міжнародний ринок і не потрапити в халепу. Заснована на кейсах referr.ru .

Опубліковано: 19/03/19 @ 06:00
Розділ Безпека Блоги Читати далі...

QA дайджест #36: тренди 2019, тестування з JavaScript, список потрібних чатиков

Мене звуть Максим, я працюю тестувальником ПЗ, з цікавістю стежу за подіями в світі тестування та IT. Збираю найкорисніше і з радістю ділюся з вами. Приємного читання! :) Почитати Microsoft опублікував код калькулятора Windows. А серед іншого і список ручних тест-кейсів. Аналіз коду і пошук багів в калькуляторі Windows. Тренди у тестуванні З , що нового в 2019-му? Рекомендується до перегляду відеоканал Іллі Комендантова. Дуже багато якісного матеріалу в стилі «тестувальник за роботою» і багато чого іншого. З турботою про користувача , або Як уберегти клієнтів від помилок. Додавання правил Postman . Нові мови програмування непомітно вбивають наш зв'язок з реальністю. Ретроспективні уроки автоматизації : інтерфейси. Спробуй інший підхід . Про экзокортекс (і блокнотики) . Або як звільнити свою пам'ять і нічого не забути. Історія одного попарно , або Як замінити мізки Гуглом і програти. Відкритий вебінар «Метод Попарно Testing в Black Box тестуванні».

Опубліковано: 15/03/19 @ 11:00
Розділ javascript Безпека Блоги Читати далі...

Є переспам на сторінці – як перевірити?

Питання користувача: Як правильно розуміти переспам ключів на сторінці – що враховується а що ні? Приклад : У вихідному коді сайту 71 згадка одного слова в різних варіаціях. Всього 4 варіації: сертифікат сертифікація сертифікації сертифікаційний. В тексті в тілі статті кількість входжень в рамках норми, але ці слова присутні в сервісних заголовках, меню, метатегах для пс, в метатегах Open Graph, в альтах до картинок. Власне, питання – пошукові системи враховують слова у всьому вихідному коді або щось не враховується? Наша відповідь При визначенні переспама на сайті пошукові системи враховують слова у всьому вихідному коді, але різні зони сторінки мають різний коефіцієнт впливу. Нюанси визначення текстового переспама 1. Ключові слова в змістовній частині сторінки мають більшу вагу, ніж у наскрізних блоках. Ймовірність отримати фільтр за переспам за часте повторення ключевіков в тексті вище, ніж за повторення в меню, шапці, футері. 2.

Опубліковано: 11/03/19 @ 06:00
Розділ Безпека Читати далі...

DOU Проектор: NewsKit — Telegram-бот для фільтрування новин, створений 11-класниками

Усім привіт! Мене звати Дмитро Лопушанський, мені 16 років. Я — МАНівець і учень 11 класу СЗШ № 8 м. Львова з поглибленим вивченням німецької мови. Займаюся програмуванням майже 3 роки і за цей час створив вже декілька проектів. Зараз розвиваю NewsKit — чат-бот у Telegram, який надсилає добірку свіжих фільтрованих новин у зручний час з обраних новинних веб-сайтів. Ідея Під час навчання в IT-школі GoITeens на курсах Back-End та Front-End розробки 1 рік тому в мене з'єднання явилася ідея створити помічника, який бі сортував новини, які я люблю читати з цікавих мені сайтів. Я читаю переважно про нові гаджети, технології та ІТ-світ. Щоденне відвідування безлічі сайтів, які публікують цікаві новини на ці тими, стало вже моєю звичкою. Альо постійний моніторинг новинних сайтів і блогів забирав багато часу. Часто траплялося так, що на цих веб-сайтах з'єднання являлися зовсім недоречні або просто нецікаві статті.

Опубліковано: 26/02/19 @ 11:00
Розділ Безпека Блоги Читати далі...

Як побудувати посилальну стратегію сайту

Cсылочный взрыв Ahrefs Навколо посилань ведеться чимало суперечок. Часто молоді оптимізатори, маркетологи і власники сайтів кидаються з крайності в крайність – від масової закупівлі сірих лінків (за принципом чим більше, тим краще), до повного заперечення цього методу просування. Ми в referr.ru вважаємо, що істина посередині. Як виробити оптимальну стратегію просування з допомогою посилальної маси – про це стаття.
Що таке посилальна стратегія і як за неї боротися На що звертати увагу Анкорный лист Динамічний ріст маси Якість донорів Методи отримання посилань Каталоги і довідники Роботодавці Сайти відгуків Аутріч, крос-маркетинг – гостьові статті Крауд-маркетинг Висновки Що таке посилальна стратегія і як за неї боротися Посилальна стратегія – це комплекс дій по просуванню сайту в пошукових системах за допомогою планомірного нарощування кількості лінків. Суть полягає у розміщенні з посиланнями на сторонніх ресурсах.

Опубліковано: 24/01/19 @ 07:57
Розділ Безпека Блоги Читати далі...

Information Security дайджест #12: NotPetya рік потому, атмосферне UA-CTF, АРТ і їхні домашні рисорчеры, ZeroNights 2018

Дайджест створено у співавторстві з Павлом Кривко . 00h > Інтро Привіт! У передноворічному випуску ми розповімо про те, як пройшов UA-CTF в Києві, покажемо матеріали ZeroNights 2018, поговоримо про злами в Україні та світі, поділимося парочкою авторських статей та інфою за вразливостей і сплойтам. Не пропустіть самий жирний випуск минає! 01h > Гаряче Нещодавно опублікована невідомим автором стаття «Особливості національного АПТ, або Як я вивчав страшні кібератаки», присвячена мамкиным рисорчерам, сколихнула профільне ком'юніті. В властивою автору манері викладу, піднімається проблематика висмоктаних з пальця досліджень і домислів без реального фактажу. У Києві відбулася щорічна конференція з інформаційної та кібербезпеки UISGCON14 . Якісне відео з доповідями та презентаціями різних потоків цього великого івенту вже доступно для всіх, на Youtube-каналі Securit13 Podcast.

Опубліковано: 29/12/18 @ 08:00
Розділ Безпека Читати далі...

Путівник по сертифікації проектного менеджменту

Як підтвердити, що ти професіонал у тій чи іншій області? Успішний досвід, результат інтерв'ю, рекомендація колег — все це носить суб'єктивний характер. В академічних колах працює принцип: колегія професіоналів повинна перевірити знання і підтвердити вашу експертність. Так працює отримання докторського ступеня — вислухає вас колегія експертів (інших докторів наук) і дасть свій вердикт. В бізнес-середовищі діє схожий підхід, але замість академічної інституції виступає якась організація, яка акредитує експертів згідно з власними критеріями. Як правило, це певні вимоги до досвіду, вищої освіти, проходження спеціального навчання та складання тесту, іспиту, інтерв'ю або оцінки комісією. Сертифікація, як правило, ґрунтується на певному стандарті, зводі знань, а отримання сертифіката — лише підтвердження того, що ви засвоїли знання, загальний словник, арсенал кращих практик і можливість уникнути поширених помилок (хоча без них нікуди).

Опубліковано: 14/12/18 @ 09:42
Розділ Безпека Читати далі...

Ruby/Rails дайджест #24: реліз Ruby 2.6.0-preview3, оновлення JRuby до 9.2.4.1, а також вихід 5.2.2.rc1 фреймворку Ruby on Rails

Всім привіт! У новому дайджесті тонна хороших новин для спільноти Ruby. Почнемо з того, що робота над Ruby 2.6 на завершальній стадії — на початку листопада була представлена третя preview-версія Ruby 2.6, за якою послідує вже передрелізна версія. Також вийшов ряд інших оновлень, у тому числі Rails 5.2.2.rc1, Passenger 5.3.7 і Jekyll 3.8.5. Зверніть увагу на добірку статей про Ruby 2.6 — там не тільки йдеться про нові функції, але також є бенчмарки роботи з JIT-компілятором і без нього. Почитати Scaling the Monolith — чек-лист по масштабуванню монолітного програми. Tips for Writing Fast Rails: Part 2 — поради автора, як збільшити продуктивність додатків на Rails (перша частина тут ). Bundler is Built Into Ruby 2.6.0preview3 — тепер менеджер пакетів Bundler вбудований в Ruby 2.6.0-preview3. Deploying feature branches to have a review app — як і навіщо створювати staging-оточення для кожної гілки feature при розробці ПО.

Опубліковано: 01/12/18 @ 11:00
Розділ Безпека Читати далі...

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16