Обоих наказать. На съемке сотрудника, снимаещего экран, присутствует и сам экран + это еще и в публичный доступ выложено. 😉

@vbengin как то разговаривали про вулны, эксплуатацию которых не задетектит ваф-ваф. Сегодня нашел еще одну дичь из мира devops, от которой ваф не спасет. Цитата:
Блин, сегодня нашел мегабаг в самописке. При сохранении данных профиля, сервер отдает логин и пароль в открытом виде. Если поменять id на чужой, то отдаст чужие...

Сохранить настройки чужого профиля не даст, но кредсы вернет

А еще был прикол в одном api, users/list отдавал юзеров и хэши паролей

Горбатого могила исправит

Не исправит, там ничего не исправит...даже расстрел

Просто слышал в соседнем pt чатике удивление безопасника, что pt af не защитил ресурс от idor.. думал все всё понимают, но как оказалось неееет...

О как. Понятие зиродея уже не продается?

Нормально. Могу подкинуть маркетологам еще идейку. Защита от уязвимостей в еще не разработанном ПО. 😊 Как посолиднее назвать - пусть сами думают. 😊

Уже есть такое, SDL зовется

Привет! А в чатике есть специалист по Firepower? Была пара технических вопросов:
- как лучше траблшутить расшифовку трафика сертификатами TLS (Hardware Decryption)
- порядок применения политик IPS
- Access Control - есть ли возможность выявлять неиспользуемые правила стандартными средствами

https://lukatsky.blogspot.com/2019/05/blog-post_29.html?m=1 Ответ на последний риторический вопрос: ни на сколько. Возникает вопрос, что с этим делать?

Ждать, когда и у нас накроет. Может заставить задуматься. Хотя при зарплатах в госах и ограничениях по технологиям, даже ФСТЭК мало что в состоянии сделать

Спс!

Видимо очень сильно должно накрыть. Сейчас накрывает отдельные органы власти и федеральные гос учреждения, но это результата не приносит....еж птица гордая, пока не пнешь не полетит

Ну некоторые ФОИВы уже пинают и они неохотно, но двигаются.

а кто пинает?

Они же все отрицают, как мвд с воннакрай

верхи. кто может пинать руководство фоивов?)