👱‍♂️ Хард скилы VS софт скилов: что важнее?
#softskills #hardskills #карьера #софтскилы #хардскилы #найм

➡️ Результаты опроса
▪️Софт скилы: 229 голосов (45.6%)
▪️Хард скилы: 273 голоса (54.4%)
Общая тенденция от подписчиков: хард скилы по-прежнему остаются в приоритете.

➡️ Что обсуждали в чате?
➡️Софт скилы: В обсуждении отмечают, что умение адаптироваться, работать в команде и слушать фидбэк помогает быстрее влиться в коллектив. Такие навыки часто компенсируют недостаток опыта.
➡️Хард скилы: Ожидается, что даже начинающий сотрудник должен владеть базовыми техническими знаниями. Это фундамент, без которого сложно выполнить даже простые задачи.
➡️Баланс: Многие сходятся во мнении, что лучший вариант — это комбинация навыков: хард скилы дают уверенность в задачах, а софт скилы — гибкость и потенциал для роста.

Почему HR предпочитают софт скилы на начальных этапах?
Если речь идёт о найме стажёров или джунов, софт скилы выходят на первый план:

➡️Адаптивность и желание учиться: Для новичка важнее способность к обучению и усвоению новых знаний, чем владение техническими навыками, которые можно наработать.
➡️Работа в команде: Хорошие коммуникативные навыки помогают быстрее освоиться в коллективе и начать эффективно взаимодействовать.
➡️Потенциал на будущее: HR-специалисты чаще оценивают поведенческие качества как индикатор успешности в долгосрочной перспективе. Понятно, что HR не будет далее работать напрямую с этим человеком, а ей приоритетнее чтобы он не ушёл, когда ему абстрактные негативные технологии предложат х2 по зп и он сразу к ним убежит.

🚩 А что если расширить список вариантов ответов?

Это сделал мой коллЭга-админ Ильдар у себя на канале и по итогу его подписчики выбрали багбаунти \ CVE. На счёт багбаунти понятно, но CVE вызывает следующее лицо 😐. Я бы переформулировал на багбаунти \ ресерч в рамках какой-то технологии. Т.е. соискатель может показать результат/продукт своей практики. Но к сожалению таких ребят очень мало, но рад видеть, что они начинают больше появляться)

⚡️ А как по факту работает? Расскажу про свой опыт, речь будет только про джунов.

➡️Во время собеса мне важен всё таки баланс между софт и хард скилами. Но если говорить прям про стажёра, то важнее софт скилы. Потому что кому потом с этим чебуреком работать? Мне. Кто будет его потом терпеть учить? Я. Поэтому важнее софт скилы, дума стало понятно почему.
➡️ А если говорить про хард скилы, то я перед собеседованием вспоминаю как собесили меня и что мне запомнилось/понравилось. Бывают собесы после которых у тебя может наступить экзистенциальный кризис из-за того, что тебя передушили и ты думаешь, что ничего не знаешь (мои собесы в бизон). Или к примеру, как было в Awillix, спрашивали вообще все темы, но не душили прям. Нравятся вопросы, когда дают кейс и спрашивают а как бы ты сделал (но не как у Каспера).
➡️Как правильно отметил в ЛС мой хороший знакомый, часто бывает, что пытаются успеть загуглить и выдать это за свой ответ. Я нормально к этому отношусь, если соискатель не палится)) Такие финты легко контрятся с помощью, вот тебе пример из жизни, как бы ты его выполнял/разбирал/ломал/исправлял/защищал(нужное подчеркнуть)

Если бы мне пришлось начинать заново путь в ИБ, то качал бы софт скилы 60%, хард скилы 40%. Затем в течение года 30% софт скилы, 70% хард скилы - это позволит быстрее вырасти, как специалист. Затем выравнивать, в зависимости личностных предпочтений, интровертам одно, экстравертам другое.

👩 Если вы HR или принимаете участие при найме, то делитесь своим мнением в комментариях: что важнее именно для вас — софт или хард скилы?

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

#meme

🌚 @poxek

🌕 В уличной драке побеждает тот кто:
1. Разобьет стеклянную дверь кувалдой.
2. Успеет взломать и сделать все что надо до того как охрана надает по тыкве.

Поэтому члены команды пентеста в Бастионе решили сделать пробив офиса и показать архитектурные косяки множества СКУД. Как сис админ по первой работе, я помню какие же дырявые были у нас в госке СКУДы. Некоторые были такие слабые (магниты, как часть системы), что дверь можно было открыть просто приложив усилие. А некоторые ... ну ладно, что-то меня понесло)

Представляю вашему вниманию⬇️

😱 Red Team против умного замка: взламываем биометрическую СКУД при помощи скрепки и магнита
#redteam #bastion #СКУД #RFID

Удержаться от знакомства с новой СКУД оказалось поистине «невыполнимой» миссией. В конце концов, кто, если не мы, протестирует безопасность компании, которая отвечает за безопасность других? «Мы» — это эксперты Бастиона по программно-аппаратному взлому: Иван Глинкин и Алексей Петренко.

Подрядчик установил в офисе довольно дорогие гаджеты: 7-дюймовый экран, широкоугольная камера, инфракрасная подсветка для работы в полной темноте. По заявлениям производителя, такие терминалы узнают человека за доли секунды с точностью 99%, запоминают тысячи лиц и способны идентифицировать людей в ковидных масках.

➡️ Читать дальше

📺 Ребята очень постарались и записали видос — это маст хев к просмотру)

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

На моё искреннее удивление 0_0 ответы поделились практически по ровну 50/50

Я выделил некоторые проблемы, с котороыми сталкивались вы или я сам и как их можно решить

Часть 1
Часть 2

➡️У меня нет опыта работы, а все требуют проекты и достижения
Решение:
▪️Участвуйте в CTF (Capture the Flag) соревнованиях. Даже начинающие задачи могут быть значимым вкладом в портфолио.
▪️Опишите выполненные учебные проекты, например, анализ уязвимостей или создание простых систем безопасности.
▪️Учавствуйте в BugBounty, сейчас этот рынок РФ быстро растёт и уже с прошлого года вижу как в вакансиях появился новый пункт в разделе Будет плюсом об участии в багбаунти. Понятно, что надо и баги найти, а не просто зарегаться :D


➡️Я не знаю, что добавить в портфолио, чтобы это заинтересовало работодателей
Решение:
▪️Пишите writeup'ы (райтапы) по лабам HackTheBox/TryHackMe/PortSwigger Academy. С помощью грамотного описания как вы поломали что-то вы улучшите: понимание темы/уязвимости/системы, навык написания отчётов (что нужно не только для техписов/аналитиков), грамотную подачу мыслей.
▪️Документируйте свои исследования: анализ уязвимостей, best practice использование инструментов, какие-то автоматизации. К примеру был кейс, когда пришёл одному парню в компании1 дали задачу написать крутой сетевой сканер (типо naabu от Project Discovery, только тогда naabu ещё не существовало)). В итоге парня сократили в компании1, т.к. сказали что разработка больше не нужна. Он пришёл на собес к одной из ИБ компаний в России и чё-то как-то начал рассказывать и когда он сказал, чем он занимался и что у него уже есть на руках, то его практически сразу взяли на работу. Ведь наши знаний, как кандидата на место в компанию, могут стоить для компании кратно дороже, чем мы их сами оцениваем)


➡️Я не умею правильно оформить своё портфолио
Решение:
▪️Используйте GitHub, как платформу для публикации проектов. Систематизируйте репозитории по категориям. Делитесь с сообществом своими наработками, компаниям это нравится.
▪️Не надо думать, что вы дофига дизигнер и нарисуете сами или через какой-то сервис генерации красивое, красочное резюме. Когда ко мне приходят с оценкой резюме и я вижу каракули — практически всегда это выглядит как детская поделка на субботнем утренике. У нас есть генератор резюме на hh, как стандарт. HRы в крупных компаниях тратят буквально несколько секунд на беглый осмотр вашего резюме. Всё что не укладывается в стандартизированный формат, будет либо скипнуто, либо запомниться недовольством о вашем резюме.


➡️Мои проекты выглядят слишком простыми — как показать свой потенциал?
Решение:
▪️Сходи к психологу и проработай свой синдром самозванца. Скромным не дают много деняг, потому что они не умеют требовать.
▪️Добавляйте пояснения, чего вы хотели достичь проектом и какие выводы сделали. Например: "Задача проекта — понять механизмы SQL-инъекций и предложить эффективные защиты."
▪️Покажите процесс решения задачи: от поиска проблемы до её устранения. Т.е. опишите ваш flow (не переводится) мышления, тогда либо вашему будущему руководителю, либо HRу будет понятно, как вы думаете и подходит ли ваше мышление для отдела.
▪️Если всё ещё счиатете проекты простыми, то выходите из зоны комфорта и ставьте цели кратно сложнее. Даже если не добъётесь конечного результата, за вами уже будет ковровая дорожка.

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

На моё искреннее удивление 0_0 ответы поделились практически по ровну 50/50

Я выделил некоторые проблемы, с котороыми сталкивались вы или я сам и как их можно решить

Часть 1
Часть 2

➡️Я боюсь, что мои работы никто не заметит
Решение:
▪️Продвигайте свои проекты: публикуйте ссылки на Github, активно участвуйте в профильных чатах, а не read-only формат.
▪️Ведите личный блог в виде сайтика или Telegram-канала, где будете делиться своими наработками.
▪️Ребята уже в 16 лет выступают на крупных конфах, чем вы хуже? Абсолютно точно ничем. Поэтому, даже если есть страх выступления/сцены, то возможно его стоит перебороть.

➡️Я не знаю, как рассказать о своём вкладе в командные проекты
Решение:
▪️Описывайте конкретные задачи, за которые вы отвечали. Это же относиться к резюме. Например: "Я в команде Аудита занимался автоматизацией, т.к. мне были выданы доступы к N сотен объектов, безопасность которых нужно проверять постоянно." Что-нибудь в таком духе)
▪️Упоминайте, какие навыки вы использовали или приобрели в процессе работы. К примеру у меня первая запись в трудовой книжке - это работа младшим аналитиком. Я занимался ручной разметкой сырых данных для нейросети. Изучал алгоритмы и подходы машинного обучения.

Я думаю вам стало понятнее, как пробиться на работу и те 168 юзеров, кто проголосовами за Да, есть проблемы смогут их разрешить)

P.S. важная сноска. Последнее время много пишут с просьбой оценить резюме. Ребят, это занимает достаточно времени. Поэтому в порядке очереди + по настроению на это отвечаю. Для всего остального есть расчётный счёт :)

Если остались какие-то глобальные вопросы, то задавайте в комментариях к этому посту и отвечу в следующей части, если наберём на неё!

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

(PHP) Type Juggling

Этот пост начну с предповествования.
У различных языков программирования разный подход к типизации - то есть к тому, насколько строго ЯП будет относиться к типам переменным (int, float, string и т.д.). Здесь будет идти речь о свободно типизированных языках программирования (eng: loosely typed), а в частности о PHP, как о ЯП, который собрал в себе наиболее интересные штуки, о которых рассказано далее. Данные языки стараются "предугадывать", что имел в виду программист или пользователь и делать внутри неявное преобразование переменных в другие типы. К слову, некоторые подходы могут быть применимы и к другим свободно типизорованным ЯП, например Perl, JavaScript, но у них есть своя специфика, о которой здесь рассказывать не буду.

Итак,

🟪Type Juggling - автоматическая конвертация типов в свободно типизированных языках программирования.

По своей сути это является особенностью языка, а не уязвимостью. Тем не менее, неаккуратное ее использование зачастую приводит к неожиданным последствиям, которые зачастую результируют в проблемы безопасности.

🟣Тип:
Programming Language, Web, Server-Side.

Наибольший интерес в данном ключе вызывают операции сравнения. В PHP их два вида:

📝свободное (loose): == или !=
📝строгое (strict): === иди !==

И самые интересные моменты всплывают как раз в первом типе.

🟣Пример уязвимого кода:

if (md5($user_input) == '0e732793752744629114494286417663') { ...

В данном случае если пользователь введет что-то, что при преобразовании в int будет давать 0 (например GTJ3YSmZ в md5 будет 0e{digits...}), то условие будет истинным, так как для PHP обе эти строки будут конвертироваться в 0 (данный синтаксис возводит 0 в огромную степень, что результирует в 0).

Еще один интересный пример 'abc' == 0. Данное условие будет истинным, так как в первой строке PHP будет смотреть на ее начало в поиске цифр, по ненахождению которых он будет считать строку нулем. То есть следующее условие также будет истинным: '23abc' == 23

Больше подобных сравнений я поместил в скрине к посту (источник)

🟣 Влияние:
Такие штуки помогают обходить разные условные конструкции и критичность будет зависеть от расположения подобной проблемы в коде. Один из наиболее базовых и критичных импактов - возможность обходить контроль доступа при авторизации (сравнение хешей паролей) - тут и появилось понятие "магических хешей" (magic hashes).

🟣 Как защититься?
Использовать строгое (`===`) сравнение и использовать функции password_hash(), password_verify() и hash_equals() для работы с хешами и паролями. (Ну и md5 не используйте для этих целей - он уже давно признан старым, оставьте в покое старичка).

На самом деле, в наши дни такое можно встретить только на CTF, где оно используется очень часто. Последние версии PHP умеют элегантно справляться с подобными проблемами и большинством способов обхода защиты, а даже если и используется более старая версия языка, то обнаружить эту проблему без наличия исходных кодов (и явных признаков от самого приложения) крайне сложно. Но тем не менее, знать о существовании этого очень полезно и может пригодиться во многих сферах работы.

#edu #vuln #programming #web #php #php_type_juggling #magic_hashes #type_juggling

#назлобудня #meme

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

#meme@poxek
#meme@poxek_meme

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Это лучшее, что вы увидите за этот вечер 😂

Threat Zone 2025
#bizone #threatintelligence

Как просили, информация и инсайды о Threat Intelligence. Также скоро с одним из телеграм админов будет совместный пост на эту тему.

Stay secure 🕶

🌚 @poxek