Leak-Search: как и зачем QIWI создала сервис, который ищет утечки исходных кодов компаний
Искать утечки и уязвимости в своих продуктах не только интересно и полезно, но и необходимо. Еще полезнее подключать к таким поискам внешних специалистов и энтузиастов, у которых не настолько замылен глаз, как у сотрудников. Поэтому в свое время мы в QIWI запустили программу bug bounty —...
[Из песочницы] Мамкины хацкеры или мой путь в CTF
Это был далекий 2014 год, когда еще зеленые, недавно поступившие в универ, парни, услышали, что есть какие-то соревнования с завлекающим названием — «Capture the flag» (сокр. CTF, в переводе «Захват флага»). Фото с сайта securitylab.ru к новости про Facebook CTF 2016 На факультете был один...
(S)SDLC, или Как сделать разработку безопаснее. Часть 1
С каждым годом культура разработки растет, появляются новые инструменты для обеспечения качества кода и новые идеи, как эти инструменты использовать. Мы уже писали про устройство статического анализа, про то, на какие аспекты анализаторов нужно обращать внимание, и, наконец, про то, как с...
Создание системы формальной верификации смарт-контрактов. Часть 1: символьная виртуальная машина на php и python
Формальная верификация подобна атомной бомбе в мире информационной безопасности: это средство, которое позволяет найти в программе все баги либо же доказать, что их нет. Разумеется, со своими преимуществами, недостатками и ограничениями. Раньше я описывал основы формальной верификации на примере...
[Из песочницы] Формальная верификация на примере задачи о волке, козе и капусте
На мой взгляд, в русскоязычном секторе интернета тематика формальной верификации освещена недостаточно, и особенно не хватает простых и наглядных примеров. Я приведу такой пример из зарубежного источника, и дополню собственным решением известной задачи о переправе волка, козы и капусты на другую...
Далее