Jump to content

Vehuiah

Members
  • Posts

    32
  • Joined

  • Last visited

About Vehuiah

  • Birthday 01/01/1990

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

Vehuiah's Achievements

Newbie

Newbie (1/14)

  • Week One Done Rare
  • One Month Later Rare
  • One Year In Rare

Recent Badges

10

Reputation

  1. Multumesc, M-am gandit mai bine si as avea niste intrebari dar cum ai spus si tu depinde de firma in functie de "suport" si m-ar interesa defapt care ar fi standardul spre care ar trebui sa aspir. O sa intreb direct, nu ar trebui dar daca ti se par prea intruzive te rog sa ma scuzi. O prima intrebare e daca sa caut firme care sunt listate la bursa sau nu, si ce parere ai de impactul pe care il au shareholderii in decizii de management. Din experienta mea, as tinde spre o firma care nu e listata. Desi orice firma poate urmari profit intr-un mod agresiv, mi se pare ca cele orientate pe actiuni garanteaza ca o sa investeasca in departamente in functie de ce venit aduc ele. Si echipe care nu genereaza venituri cuantificabile in mod direct pot sa ramana "subnutrite" si fara sa aiba suficiente resurse ca sa ofere rezultate/calitate. Crezi ca ar conta pentru o pozitie de application security? O alta intrebare care pare mai ciudata este de ierarhia firmei, cat de mult conteaza felul in care e structurata firma? Am citit despre niste experimente de la Google in care aveau diferite moduri de a structura echipele pentru a fi mai eficiente, dar in continuare pe piata par sa fie doar firme in care inginerul e muncitorul de la baza si deasupra lui "administratori". Pe mine nu pot sa spun ca m-ar incanta ideea sa am un coleg in echipa care a devenit manager-ul meu si acum are salariu de 50% mai mare pentru ca tine evidenta zilelor de concediu si se ocupa de lucruri care pot fi facute de oricine. Mi se pare ca nu este cel mai eficient fata de workflow, poate persoana aia poate genera 10.000 euro in timpul in care el trebuie sa se ocupe de management, sa faca bugetul si ce mai trebuie facut. Si imi lasa impresia ca daca vreau sa fac mai multi bani singura optiune este sa preiau responsabilitati pe care nu le vrea nimeni, si ma asteptam sa preiau responsabilitati pe care nu le poate face oricine. Stii cumva daca este ceva mai bun decat ierarhia clasica de "inginer < manager < director < executiv"? Cum sunt procesate ideile noi de catre management? Si tu daca ai fi parte din management cum le-ai procesa (care ar fi idealul)? Am fost intr-o situatie in care erau o gramada de propuneri de a schimba workflow-ul si de a imbunatati serviciile insa nu se putea face nimic fara aprobare de la upper management. Si pe masura ce se re-transmitea propunerea se pierdea cumva din esenta ei ca la telefonul fara fir si la sfarsit nu se rezolva nimic. Cam cat de mare este bariera de cunostinte intre ingineri si management? Poti sa vorbesti liberi sau trebuie sa explici? Cum se masoara performanta cuiva? Si daca atunci cand se masoara, se bazeaza pe factori care nu erau sub controlul total al testerului? Daca se masoara in functie de frecventa bug-urilor gasite sau in functie de severitatea lor, nu ar fi just pentru ca nu ai control asupra lor, tine de felul in care programatorii au implementat, si sa gasesti cea mai critica vulnerabiltiate sau pe cele mai multe nu inseamna ca esti cel mai eficient sau cel mai bun. Cum se procedeaza daca un angajat nu are o performanta buna in cazul in care au fost niste obiective nerealiste? Nu mi s-ar parea ok daca un director propune o crestere de X% si echipei ii este imposibil sa o ofere, sa isi piarda din bonus sau alte beneficii. Membrii din echipa ta (sau altele) de AppSec au cativa ani de experienta pe rol sau mai multi? Daca majoritatea membrilor au putini ani de experienta pe rol, si mai toate persoanele vin si pleaca des pare mai degraba un "stepping stone" catre un alt job, sau e ceva in neregula. Iar daca mai toti membrii au foarte multi ani pe rol eu nu cred ca este ideal pentru ca exista riscul sa se plafoneze si sa scada moralul echipei sau rezultatele. Ce parere ai? Cum se prioritizeaza taskurile? Si daca sunt unele care nu ajung sa fie facute? Mi s-ar parea ideal sa existe o relatie client-echipa prin care sa se faca clare lucrurile astea dar in lipsa unei discutii clare se ajunge sa se prioritizeze in functie de riscuri, vectori de atac, etc. In cazul in care se prioritizeaza dupa risc de cele mai multe ori raman la urma task-urile cu risc foarte mic sau care adauga foarte putina valoare pentru client, se proceseaza mereu toate? Ce separa team leader-ul de ceilalti? Cata experienta si in ce l-a ajutat sa fie ales ca team lead? Nu ca as vrea sa fiu team-lead insa cred ca sunt importante criteriile dupa care este aleasa persoana. Daca echipa ar primi mai multe resurse, ar avea o performanta mai buna? Asta este inspirata din experienta, am fost intr-o echipa care nu primea suficiente resurse sa-si faca treaba calumea. Insa pe AppSec nu cred ca este cazul sa fie asa, dar am zis totusi sa intreb. Ce iti impacteaza performanta? Daca ai avea un volum mai mare de munca ar rezulta intr-o calitate mai scazuta? Sau este ceva in afara controlului care te poate afecta negativ? De exemplu, daca se fac angajari si trebuie sa tii interviurile inseamna ca nu mai poti sa lucrezi la fel de mult, se ia cumva in calcul cand se masoara performanta sau se presupune la sfarsit de an ca aia a fost performanta ta si se compara cu a altora care nu au avut la fel de multe responsabilitati? Daca sunt lucruri care ar putea imbunatati workflow-ul, de ce nu sunt implementate deja? De exemplu daca ar putea fi facut un script care sa automatizeze un task, a carui implementare ar dura 1 zi dar care folosindu-l s-ar economisi 10 zile pe an, care ar fi motivele pentru care nu s-a facut, e volumul de munca prea mare, nu exista acces pentru echipa, nu exista cunostintele necesare Indiferent de raspunsuri mi se pare suficient faptul ca nu faci rapoarte Multumesc inca odata!
  2. Salutare, mi-a crescut interesul in ultimii ani sa fac o tranzitie spre un rol de Application Security si m-ar ajuta daca aveti experienta pe partea asta sa-mi spuneti cum e. M-ar interesa detalii de genul: in cat timp te plafonezi, in cat timp te obisnuiesti cu workflow-ul, cam cat % din workflow tine de a rula tool-uri si cam cat e manual, ce ar putea fi automatizat si nu este momentan, ce parere au clientii in general de serviciul asta, samd. Eu am experienta de programare mai multa decat media celor din securitate, am dezvoltat tot felul de programe, web apps, aplicatii android, etc. Pe partea de securitate am lucrat in domeniu si am acumulat o gramada de cunostinte in tipuri de vulnerabilitati si cred ca pot fi mult mai creativ decat majoritatea, insa pe partea de testare nu am o fundatie solida (am reusit sa iau cateva bounty-uri pe bugcrowd dar nimic impresionant) Din toata experienta mea mi se pare cel mai eficient sa lucrez direct cu developerii si sa detectez posibilele vulnerabilitati direct in cod inainte de a intra in productie. Cred ca daca as lucra in felul asta m-as simti mai implinit decat daca incerc sa obtin admin pe IP-ul unui client 2 saptamani si apoi trec la altul. Astept pareri si sfaturi, multumesc!
  3. Salutare, in ultima vreme am dat peste cateva vulnerabilitati apartinand unor firme foarte populare din Romania care nu au programe de tip bug-bounty. Intrucat am nevoie de serviciile online ale respectivelor organizatii si nu eram multumit de nivelul de securitate, le-am scris in vederea raportarii posibilului impact fara sa am pretentia la o recompensa. Cazurile mele: - Lipsa certificat SSL/TLS: am luat legatura prin singurul email disponibil pentru clienti. Ulterior mi s-a raspuns ca raportul meu a fost redirectionat departamentului IT. Iar dupa cateva luni de zile site-ul a inceput sa foloseasca certificat. - Username/email enumeration: O persoana din departamentul de relatii cu clientii mi a raspuns cu un template in care imi multumeau pentru feedback-ul meu dar nu a fost mentionat nimic despre vulnerabilitate sau securitate. Cateva luni mai tarziu, vulnerabilitatea exista in continuare. - Alt username/email enumeration: Am luat legatura prin linkedin cu o persoana de la conducerea departamentului de securitate IT, dar nu am oferit raportul direct. In schimb am cerut indrumare despre cum as putea trimite raportul. Ma asteptam la un canal de comunicare oficial al firmei dar reprezentatul firmei a cerut raportul pe linkedin. In conditiile in care eu nu ma asteptam la o recompensa si interesul meu era sa fie rezolvata problema, am oferit raportul. Dupa cateva saptamani, si niciun raspuns, am cerut feedback la raport si nu am primit nimic. Linkedin marcheaza mesajele vazute de catre destinatar si indica faptul ca raportul si cererea de feedback au fost citite. In continuare, vulnerabilitatea exista. In conditiile in care amenzile sunt foarte mari pentru vulnerabilitati de tip "client information disclosure", ma asteptam sa se rezolve. Ma intrebam: cum ar trebui sa procedez ca sa isi rezolve problemele?
  4. Ideea principala e simpla, fa ceva nou si spera sa dai lovitura, oriunde altceva:vei avea competitie si o sa devii milionar la 50 de ani. Nu tre sa te afunzi in concepte SF, am citit despre o tipa care dupa ce a fost la un picnic si nu avea unde sa isi puna paharul de vin a inceput sa vanda pahare de sticla care se infing in pamant( ca scobitorile) si in cateva luni si-a deschis fabrica. Daca stii cum se invart banii in lume e simplu, in functie de ce stii sa faci. Daca deschizi ochii vezi imediat probleme oriunde te uiti, incearca sa le rezolvi pentru bani Depinde doar de tine, obisnuiestete sa tragi tare de tine pentru ca sa iasa absolut totul bine. Eu personal ma bazez pe trecerea automobilelor de la combustibili fosili la cei alternativi si pun la punct o infrastructura, daca te intereseaza zona asta si ai timp liber ne putem ajuta reciproc, cu mai putin de 50-100 de oameni nu incepem nimic.
  5. Trebuie sa rotesc un panou metalic pe axa verticala cu o frecventa foarte mare. Nu am reusit sa improvizez ceva care sa nu vibreze pana se descompune. Daca stiti pe cineva cu atelier mecanic care ar putea construi un dispozitiv dupa planurile mele(sau doar sa imi dea voie sa ii utilizez uneltele) sau daca va pricepeti voi trimiteti-mi pm! (Apropo, nu conteaza orasul)
  6. Multumesc mult! O sa incerc sa fac o variabila oppinion si ,in functie de ce buton apasa like/dislike, sa ia valoarea +-1. Iar apoi sa am in query 'like'='like'+oppinion.
  7. Salutare, ma joc prin wordpress si vreau sa stiu cum pot sa trimit comenzi catre o baza de date cand apas pe un buton. Alte detalii:Am o pagina care genereaza posturi random alegand la intamplare un id dintr-un tabel 'Posts' si incerc sa incrementez integerul pentru likeuri de la id-ul ales.
  8. Daca imi spuneti cateva oportunitati dupa care sa fiu cu ochii in patru, ar fi super! Un //todo list al Bucurestiului dar pe partea de IT
  9. Multumesc, afara o sa merg dupa facultate (pentru master job etc) deoarece nu vreau sa muncesc 24/7 sa fac bani de chirie si sa mai si invat. De curiozitate, daca am terminat la privat cam ce mi-ar trebui sa fiu remarcat, imi imaginez ca daca am un concurs international, un internship Google o sa fiu mai bine vazut dar o sa fie suficient? Planul ideal pana acum e sa intru la FMI Bucuresti si sa fac o echipa si un startup in primul an ca mai apoi sa continui cu google summer, dupa masterul in ethical hacking ceva pe afara, cateva certificari SANS si la munca! Daca nu am echipa si nu iese startup-ul o sa caut un loc de munca, probabil bitdefender sau la cules capsuni:)) Problema mea nu e sa ma mentin pe directie, e sa gasesc drumul cu maxima viteza si cele mai mici pierderi de timp. Dupa BAC o sa ma orientez pe mobile dev si sper sa fac cativa bani cat sa am resurse pentru viitorul startup. Sugestii?
  10. A venit vremea sa aleg un oras unde sa merg la facultate. La Bucuresti avem FMI si Titu Maiorescu primele optiuni iar la CJ UBB-ul. Am o banuiala ca la Bucuresti ar fi mai multe oportunitati dar nu am nimic concret iar Clujul e mai frumos ca oras si e o influenta puternic europeana acolo (Astea sunt doar din auzite) Ce stiu clar e ca la FMI sunt multi olimpici si e un mediu mai competitiv iar la Titu este tehnica de predare mai buna (fiind privata isi permit sa adopte ce vor ei). Orice parere sincera este binevenita!
  11. Care au fost cele mai frumoase hackathonuri,workshopuri sau conferinte la care ati fost? Stiti daca se face Defcon anul acesta?
  12. Let's play a game: Sa presupunem un scenariu in care cineva te vaneaza (Chuck Norris angajat la FBI) si singura solutie este sa fugi. Vino cu un plan care sa acopere cat mai multe zile in care strangi bani si iti pui la punct o viata noua intr-o alta tara.
  13. @Sithalkes si prietenii "parca vad ca.." Eu parca vad ca pierd timpul cu tine. Ma scuzati, dar nu am chef de mistouri! Daca e cineva care ar vrea sa colaboram la un proiect trimiteti-mi mesaj. Edit: Poate fi si ideea voastra de proiect.
  14. Ma intereseaza sa vad cat de bine suntem organizati pe domeniu. Aparent, fiecare e pe treaba lui si ar fi frumos sa facem ceva organizat. Nu am firma, dar mi-ar placea sa fac parte dintr-una. Edit: Se poate spune ca sunt intr-o faza de orientare profesionala. Momentan doar caut.
  15. Am auzit de la un prieten ca ar fi o echipa de pentesteri la Bucuresti,(surprinzator) avand ca scop strict pentesting-ul. Aveti mai multe informatii? Caut echipe din toata tara, consultanti in securitate etc. Sa vedem! (carti de vizita,site-uri, nr de telefon)
×
×
  • Create New...