|
o**********e 发帖数: 18403 | 2 【 以下文字转载自 JobHunting 讨论区 】
发信人: condorlee (condorlee), 信区: JobHunting
标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西
发信站: BBS 未名空间站 (Sat Jun 13 17:08:45 2015, 美东)
不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
面。
现在因为人才紧缺,所以很多公司不管是外部招聘、还是内部转岗,要求门槛都不高,
进场正是机会。码工们的开发功底,再往安全方向转移时,大部分也仍然会发挥价值,
不会浪费。
整个世界,信息化程度已经很深,可是信息安全落后太多,各个公司欠的债几乎是还不
完的。我是做这个方面的所以更了解内情。
可以说是一塌糊涂,现在暴露出来的这个公司,那个银行被攻击,都只是冰山一角。大
部分的攻击都是很弱智很简单的。很多所谓的黑客,也就是拿着别人写好的工具,东戳
戳西捣捣,结果到处都是捅出来的窟窿。
窗户没关,大家一眼就看见。软件中某个地方有个漏洞,除非花大量时间... 阅读全帖 |
|
o**********e 发帖数: 18403 | 3 【 以下文字转载自 JobHunting 讨论区 】
发信人: condorlee (condorlee), 信区: JobHunting
标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西
发信站: BBS 未名空间站 (Sat Jun 13 17:08:45 2015, 美东)
不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
面。
现在因为人才紧缺,所以很多公司不管是外部招聘、还是内部转岗,要求门槛都不高,
进场正是机会。码工们的开发功底,再往安全方向转移时,大部分也仍然会发挥价值,
不会浪费。
整个世界,信息化程度已经很深,可是信息安全落后太多,各个公司欠的债几乎是还不
完的。我是做这个方面的所以更了解内情。
可以说是一塌糊涂,现在暴露出来的这个公司,那个银行被攻击,都只是冰山一角。大
部分的攻击都是很弱智很简单的。很多所谓的黑客,也就是拿着别人写好的工具,东戳
戳西捣捣,结果到处都是捅出来的窟窿。
窗户没关,大家一眼就看见。软件中某个地方有个漏洞,除非花大量时间... 阅读全帖 |
|
o**********e 发帖数: 18403 | 4 【 以下文字转载自 JobHunting 讨论区 】
发信人: condorlee (condorlee), 信区: JobHunting
标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西
发信站: BBS 未名空间站 (Sat Jun 13 17:08:45 2015, 美东)
不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
面。
现在因为人才紧缺,所以很多公司不管是外部招聘、还是内部转岗,要求门槛都不高,
进场正是机会。码工们的开发功底,再往安全方向转移时,大部分也仍然会发挥价值,
不会浪费。
整个世界,信息化程度已经很深,可是信息安全落后太多,各个公司欠的债几乎是还不
完的。我是做这个方面的所以更了解内情。
可以说是一塌糊涂,现在暴露出来的这个公司,那个银行被攻击,都只是冰山一角。大
部分的攻击都是很弱智很简单的。很多所谓的黑客,也就是拿着别人写好的工具,东戳
戳西捣捣,结果到处都是捅出来的窟窿。
窗户没关,大家一眼就看见。软件中某个地方有个漏洞,除非花大量时间... 阅读全帖 |
|
o**********e 发帖数: 18403 | 5 发信人: condorlee (condorlee), 信区: JobHunting
标 题: Re: 建议马工们有机会多搞信息安全、安全开发方面的东西
发信站: BBS 未名空间站 (Sat Jun 13 19:29:40 2015, 美东)
我是甲方的
做security researcher也不错,短期内待遇不高,因为安全公司一般都比较穷,但是
技术积累,出点书、搞几个patent,在安全会议上讲讲,然后很容易获得甲方的喜爱
condorlee 的书单:
我大概列一下吧。
学安全我觉得最好是在工作中学习,比如在自己的组里,主动挑头,研究一下本项目安
全开发上面可以做哪些事情?有目的的,逐渐研究学习。如果为了学而学,可能会比较
茫然,因为分支领域多而杂。
安全开发流程
============
微软是先驱,他们的主页,应该足够学一阵子了
https://www.microsoft.com/en-us/sdl/
先从安全开发流程看起,也避免了过早陷入大量技术细节,导致茫然
web安全开发
===========
www.owasp.org 是一个web安全开发的综合性网站,有用的... 阅读全帖 |
|
o**********e 发帖数: 18403 | 6 【 以下文字转载自 Working 讨论区 】
发信人: onetiemyshoe (onetiemyshoe), 信区: Working
标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西 (转载)
发信站: BBS 未名空间站 (Sun Jun 14 10:29:29 2015, 美东)
发信人: condorlee (condorlee), 信区: JobHunting
标 题: 建议马工们有机会多搞信息安全、安全开发方面的东西
发信站: BBS 未名空间站 (Sat Jun 13 17:08:45 2015, 美东)
不管是自己业余学,还是平时工作中有涉及到的,主动去学习、承担,或者公司内部成
立安全团队,愿意接受内部没有安全经验的人转岗,都要抓住机会,尤其是安全开发方
面。
现在因为人才紧缺,所以很多公司不管是外部招聘、还是内部转岗,要求门槛都不高,
进场正是机会。码工们的开发功底,再往安全方向转移时,大部分也仍然会发挥价值,
不会浪费。
整个世界,信息化程度已经很深,可是信息安全落后太多,各个公司欠的债几乎是还不
完的。我是做这个方面的所以更了解内情。
可以说是... 阅读全帖 |
|
c********t 发帖数: 4527 | 7 Simply from Wiki:
Application security encompasses measures taken throughout the application's
life-cycle to prevent exceptions in the security policy of an application
or the underlying system (vulnerabilities) through flaws in the design,
development, deployment, upgrade, or maintenance of the application.
Applications only control the use of resources granted to them, and not
which resources are granted to them. They, in turn, determine the use of
these resources by users of the application t... 阅读全帖 |
|
c********t 发帖数: 4527 | 8 【 以下文字转载自 JobHunting 讨论区 】
发信人: choosewhat (前半生靠运气,后半生靠人品), 信区: JobHunting
标 题: Application Security space in a nutshell
发信站: BBS 未名空间站 (Mon Dec 10 16:18:35 2012, 美东)
Simply from Wiki:
Application security encompasses measures taken throughout the application's
life-cycle to prevent exceptions in the security policy of an application
or the underlying system (vulnerabilities) through flaws in the design,
development, deployment, upgrade, or maintenance of the application.
Applications only cont... 阅读全帖 |
|
c********t 发帖数: 4527 | 9 【 以下文字转载自 JobHunting 讨论区 】
发信人: choosewhat (前半生靠运气,后半生靠人品), 信区: JobHunting
标 题: Application Security space in a nutshell
发信站: BBS 未名空间站 (Mon Dec 10 16:18:35 2012, 美东)
Simply from Wiki:
Application security encompasses measures taken throughout the application's
life-cycle to prevent exceptions in the security policy of an application
or the underlying system (vulnerabilities) through flaws in the design,
development, deployment, upgrade, or maintenance of the application.
Applications only cont... 阅读全帖 |
|
|
a*******s 发帖数: 324 | 11 Someone contacted me about this position, if you are interested please
contact him directly. He asked for an updated resume along with current and
desired base salary and current visa status and expiration dates if
applicable.
Sorry, I have no further information about it.
Good luck
Job Title: PHP DEVELOPER
Reviewer: DIRECTOR – INFORMATION SYSTEMS
SUMMARY: Performs the required duties to maintain operational requirements
for Internet systems.
ESSENTIAL DUTIES AND RESPONSIB... 阅读全帖 |
|
f****g 发帖数: 313 | 12 I am working at application Security industry for a year, and I am still a
newbie:-) But I love to share my $0.02.
Knowledge and Skill sets:
If you are working in Web Security:
* Web technology stack, from the most basic principle like same domain
origin policy to latest technology like PostMessage, WebSocket etc.
* OWASP Top 10 Web Security Vulnerabilities
* Applied cryto. How to generate PRNG? How to store customers' password?
what is the crypto algorithms/libraries you are going to suggest d... 阅读全帖 |
|
|
A*****a 发帖数: 20 | 14 我们是一家在加州Santa Barbara做SaaS的startup。主打产品是AppFolio Property
Manager,为美国的房产管理商提供一站式的在线管理系统,另外也涉足Virtual Data
Room和美国法律软件领域。公司正处在高度发展期,急需计算机人才。在AppFolio,你
会直接参与到我们infrastructure的开发和维护,亲自解决我们成长过程中的各种技术
难题,而在其他老牌IT公司,你很少能有这样的机会。我们主要使用Ruby on Rails/
MySQL,但我们不要求申请者有相关经验。对国际学生,我们支持H1-B。
公司介绍: www.appfolio.com/about
工作地点: Santa Barbara, CA
详情和职位申请: www.appfolio.com/jobs 或 http://www.indeed.com/cmp/Appfolio/jobs
Software Engineer
AppFolio is the fastest growing provider of online property management
soft... 阅读全帖 |
|
t********5 发帖数: 522 | 15 Security偏应用的话 OWASP
Crypto 有一本生涩蛋疼的Intro to Modern Crypto
剩下的security就是按照topic去搜一下资料了吧 貌似没见到有系统讲这些的书啊 知
道的一本是Hacking Exposed 不过我是没仔细看过 所以不知道好不好。。。
缓冲区溢出 跨站 注入 缓存毒害 各种协议的init以及漏洞(SSL, etc) 私钥加密公钥
加密 Public key exchange, DH Key exchange, secure Hash, CA的相关概念 数字签
名 理论的包括crypto indistinguishability 点点点。。。
大概记得的大topic就是这么些。。 |
|
|
|
a******l 发帖数: 10 | 18 根据我在的公司和linkedin找来的hunter,似乎下面职位现在比较火
1. security analyst: network, system, coding… everything…
2. SIEM architect/ specialist/consultant : Arcsight, QRadar, splunk…
3. Security operations center consultant: process, SIEM, reporting,
operating model…
4. application security specialist/engineer: SDLC, owasp…
5. security programmer- python: RACF, Java, python…
6. security & privacy consultant: PCI, NIST, SOX/COSO…
不一定对,仅供参考 |
|
O**o 发帖数: 2071 | 19 我觉得我需要一个code review process。但是不知道要怎么弄。我曾经有个
consultant, 他给过我一些coding standard and code review check points.
这个coding standard有个二十来页,无非是些naming convention, comments,
javadoc这些个东西,跟当年java.sun.com,现在oracle网站上面的没什么大区别,排
版好看一些而已。
然后这个code review check list, 共80项,号称每个module/web page都要查这80项
。靠,这怎么搞啊?这不是坑姐吗?80项每一项都够查一阵子的。这玩意工作量很大啊
,我觉着比coding工作量还大啊。谁有这么多闲功夫一条一条琢磨啊?我不可能一个
developer写出code陪俩Sr. developers做code review啊。
难道就是走个过场?那负责code review的同志不是很惨?sign off之后那就是责任啊
。再说我确实code有点乱,确实想搞这么个process,不是想走过场的。除了g... 阅读全帖 |
|
O**o 发帖数: 2071 | 20 这里大公司的牛人多,借问一下哈。
我觉得我需要一个code review process。但是不知道要怎么弄。我曾经有个
consultant, 他给过我一些coding standard and code review check points.
这个coding standard有个二十来页,无非是些naming convention, comments,
javadoc这些个东西,跟当年java.sun.com,现在oracle网站上面的没什么大区别,排
版好看一些而已。
然后这个code review check list, 共80项,号称每个module/web page都要查这80项
。靠,这怎么搞啊?这不是坑姐吗?80项每一项都够查一阵子的。这玩意工作量很大啊
,我觉着比coding工作量还大啊。谁有这么多闲功夫一条一条琢磨啊?我不可能一个
developer写出code陪俩Sr. developers做code review啊。
难道就是走个过场?那负责code review的同志不是很惨?sign off之后那就是责任啊
。再说我确实code有点乱,确实想搞这么个pr... 阅读全帖 |
|
|
O**o 发帖数: 2071 | 22 这里大公司的牛人比较多,借问一下哈。
我觉得我需要一个code review process。但是不知道要怎么弄。我曾经有个
consultant, 他给过我一些coding standard and code review check points.
这个coding standard有个二十来页,无非是些naming convention, comments,
javadoc这些个东西,跟当年java.sun.com,现在oracle网站上面的没什么大区别,排
版好看一些而已。
然后这个code review check list, 共80项,号称每个module/web page都要查这80项
。靠,这怎么搞啊?这不是坑姐吗?80项每一项都够查一阵子的。这玩意工作量很大啊
,我觉着比coding工作量还大啊。谁有这么多闲功夫一条一条琢磨啊?我不可能一个
developer写出code陪俩Sr. developers做code review啊。
难道就是走个过场?那负责code review的同志不是很惨?sign off之后那就是责任啊
。再说我确实code有点乱,确实想搞这么个... 阅读全帖 |
|
|
|
r***s 发帖数: 737 | 25 No frame work can save you. Yet there are principles
To follow
1. Verify every single field that can be manipulated
By user to prevent injection attacks, including SQL injection
Or xss
2. Separate important operation (e.g.money transfer) into two steps and
ensure that first step can not be skipped to defend against csrf
Owasp web site has loads of valuable information |
|
c*********e 发帖数: 16335 | 26 If a browser does not support HttpOnly and a website attempts to set an
HttpOnly cookie, the HttpOnly flag will be ignored by the browser, thus
creating a traditional, script accessible cookie. As a result, the cookie (
typically your session cookie) becomes vulnerable to theft of modification
by malicious script
https://www.owasp.org/index.php/HttpOnly |
|
h**********c 发帖数: 4120 | 27 最近厂里组织学习owasp,一般都是要
login, save a auth token in session/cookie what the.
not in this node shit, opinion |
|
s*********y 发帖数: 6151 | 28 就是 学校教授知识结构十几年没更新了。 信息安全自学owasp网站就够了 教授
都是骗吃喝的 全fire了正好 |
|
n*********2 发帖数: 357 | 29 》 信息安全自学owasp网站就够了
这个说法就过头了吧。信息安全又不是只有web application安全。 |
|
A*****o 发帖数: 222 | 30 One example is Web Application Security. Take a look at
http://www.owasp.org/index.jsp. Even for other applications, security is also
an issue there, such as DRM applications.
related |
|
T***I 发帖数: 372 | 31 Our Information Security (Infosec) Team is responsible for the security of
company's people, infrastructure, and customer deployments around the globe.
Infosec Engineers are highly motivated team players with a dedication to
security and technology. They thrive on solving problems and tackling new
challenges.
As an Application Security Engineer, you will act as both a builder,
creating tools to help our engineers write more secure code, and a breaker,
performing penetration tests of internally d... 阅读全帖 |
|