Сергей Павлович - бывший киберпреступник, отсидевший за аферы с банковскими картами 10 лет. Его история, о которой писали крупнейшие западные издания, не закончена до сих пор. Для американских властей Сергей до сих пор остается беглым преступником, а для общества - человеком с криминальным прошлым. О праве на новую жизнь, легальном бизнесе, пентестах, даркнете и киберугрозах для каждого из нас - в новом выпуске Andersen People!

https://youtu.be/r-g1GCXyOec

#Авторская_колонка

Привет, коллеги.

В сети довольно много холливарных споров на тему того, какой язык программирования лучше всего изучать первым, чтобы стать тестировщиком. Давайте попробуем разобраться.

Прежде всего начнем с трендов - а какие языки программирования вообще популярны в автоматизации? По моему опыту, разделение примерно следующее:

Java занимает порядка 50-60% рынка
Python идет на втором месте - это порядка 30% рынка
JavaScript набирает обороты благодаря новым технологиям (playwright, cypress), но это все еще ~10% процентов рынка
Остальное - Kotlin, Go, Ruby...

Само собой, статистика может отличаться где-нибудь в странах Индии или Китая, но для стран СНГ, ЕС и США вполне актуальна.

Итак, цифры есть, посмотреть на них можно, но какой вывод сделать? Здесь есть несколько вариантов.

Первый. Учить самый популярный стек - вакансий на него будет больше всего. С одной стороны - это здравый подход. Еще из плюсов можно сразу упомянуть то, что для популярного стека проще всего искать информацию и решение проблем в сети. С другой - специалистов, знающих этот стек, тоже на рынке предостаточно и стоит ожидать конкуренцию.

Второе - учить что-то необычное и быть тем уникальным специалистом, которых в мире не так много. Тут все с точностью наоборот - конкуренции нет, но и вакансий ощутимо меньше.

Однако это все в теории. На практике же не стоит забывать про еще один довольно важный момент - учиться не просто. В сети много информации и неопытному человеку довольно сложно самостоятельно понять что является хорошим источником этой информации, а что - нет. Как быть в этом случае?

Все довольно просто, в этом случае стоит обращаться к опытным специалистам - знакомым, кто уже в индустрии, курсам или книгам, которым вы доверяете. Ни у одного языка нет явных преимуществ перед другим в плане автоматизации, иначе другие бы не использовали совсем. Да и после первого языка программирования выучить второй значительно проще. Так что куда важнее - какой язык программирования вам проще всего будет выучить первым.

Есть знакомый, хорошо владеющий Python - учите Python. Будет с кем посоветоваться. Знаете достоверно хорошие курсы по Java - выбирайте его. А может быть у вас давно лежит книга по Ruby и ее можно открыть и начать изучать прямо сейчас - так чего тратить время на выбор чего-то еще?

Как я написал выше - любой язык хорош в качестве первого. Так как основная задача - понять принцип самого программирования - как использовать условия, какие бывают типы данных, когда лучше всего работать с циклами и так далее.

Примерно так я бы рассуждал сегодня при выборе своего первого языка программирования. А вам - успехов в обучении. И помните - самое главное это начать. Дорога возникает под шагами идущего. :)

#Security

«Осторожно, печеньки!»: советы начинающим тестировщикам в сфере безопасности

Термин «тестирование безопасности» звучит довольно серьёзно. Многие боятся погружаться в эту тему, думая, что их ждут непроходимые дебри из непонятных слов, сложной литературы и загадочных аббревиатур. В этой статье познакомимся с основами тестирования безопасности и вы убедитесь, что на самом деле это просто и интересно.

Читать

Привет, коллеги.

В предыдущих постах мы уже осветили два довольно важных типа уязвимостей - SQL-инъекции и подделку запросов (CSRF). В этой решили добавить тему самых популярных уязвимостей, рассказав про XSS.

XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») — довольно популярная уязвимость, которую до сих пор можно найти на большом количестве веб-приложений. Суть уязвимости заключается в следующем - злоумышленнику удается внедрить на страницу веб-приложения JavaScript-код, который не был предусмотрен разработчиками этого приложения. Этот код будет выполняться каждый раз, когда жертвы (обычные пользователи) будут заходить на страницу приложения, куда этот код был внедрен. Использовать внедренный код злоумышленники могут по-разному.

Один из способов - злоумышленнику удастся заполучить авторизационные данные пользователя и войти в его аккаунт. Или злоумышленник может незаметно для жертвы перенаправить его на другую страницу-клон. Эта страница может выглядеть так же, как так, на которой пользователь рассчитывал оказаться. Но находиться они будет на другом домене, принадлежащем злоумышленнику. Если пользователь не заметит подмены и на этой странице введет какие-то свои личные данные, они окажутся у злоумышленника. Так как же устроена эта уязвимость? Давайте разбираться.

Прежде всего не ясно, как же именно можно внедрить JavaScript-код на сайт? Все просто, например, можно добавить JavaScript-код в поле ввода, текст из которого сохраняется и в дальнейшем отображается на странице для всех пользователей. Это может быть поле для ввода информации о себе на странице профиля социальной сети или комментарии на форуме.

Злоумышленник вводит текст (и за одно вредоносный код), который сохраняется на странице. Когда другие пользователи зайдут на эту же страницу, вместе с текстом они загрузят и JavaScript-код злоумышленника. Именно в момент загрузки этот код выполнится браузером.

Суть в том, что браузер не может самостоятельно отличить обычный текст от текста, который является CSS, HTML или JavaScript-кодом. Он будет пытаться обрабатывать все, что находится между тегами