tl;dr – Понеже блога си остана едно от много малкото места в които мога да синтезирам това, което ми е интересно и знам смятам да направя редица фокусирани върху сигурността постове. Повече информация можете да прочетете в края на статията.

Списък на планираните теми, които са готови или са в процес са както следва:

  1. Студенти, стаж и работа – накрато информацията, която аз нямах като влизах в бранша, описание на стълбицата, какво трябва и какво не е нужно да умеем в началото, no deep shit. Progress – 100%;
  2. Security fundamentals – стегнато описани основните концепции, no deep shit. Progress – 10%;
  3. Основни атаки – без много blabla, списък с десетте най-разпространени атаки, какво представляват и примери как да ги приложим, инструменти, примери;
  4. Практическо ръководство – ще заорем в DVWA и примери, решения и най-вече – защо нещо работи и защо не (това ще е публикувано по време на QA: Challenge Accepted като разширена тема от лекцията ми). Кодовото име ще е “From lizard to wizard in security testing”;
  5. Как да строшим WordPress – имам вече лекция по темата в WordPress.TV, но тук ще я развием още (и ще пропуснем частта с костюма, ъ-кането и ще е по-кратка и съдържателна. Имам някаква идея да покажа това на моя блог, но ще видим дали ще има видео по темата.
  6. Правене на презентация под стрес и с лимитирано време – как се справих аз, какъв ми беше плана и 3 основни правила, които следвах за да говоря пред 800 човека без да направя прекалено големи издънки. Progress – 15%.
  7. Отговор на задачата ми за QA: Challenge Accepted 5.0.

Понеже “сигурност” звучи многозначително и високопарно ще дефинирам какво ще значи в материалите ми:

Ще говорим за security testing в WEB среда. Тоест това сигурно ще е интересно на програмисти и изобщо няма да е интересно на администратори (които обикновено разбират много повече от multilayer security от всички други), а ще бъде насочено към QA. Ще говорим само за WEB security testing. Другите нива ще са за някой друг път.

От политическа гледна точка трябва да си сложа и disclaimer – това, което пиша тук не е с цял да бомбите някой (произволен) сайт. Целта не е да се учим да правим зулуми, а да осигурим такива да не се случват в нашите проекти. В една от темите ще опиша и процеса по reporting на security issues, защото има значение как и какво.

Идеята, както се досещате вече, е възродена основно от това, че за втора година бях избран да бъда лектор на QA: Challenge Accepted. За жалост обаче 25 минути за лекцията са толкова малко за толкова широка тема, че няма да мога дори да дефинирам фундамента за сигурността, защо ни е, защо всеки (не) разбира от нея и какво можем да направим ние (особено в контекста на QA).

И понеже тук е съвсем неофициално местенце (прочетете пак disclamer-а в ляво) е възможно от време на време да вкарам малко хумор или простотия някаква. Не ми се сърдете. Или ми се сърдете. Секцията за коментари е отворена :)


Освен това ако някой има интерес да разпиша нещо нека сподели. Винаги съм бил отворен към нови идеи за статии.