Сцена установлена. Сонный подросток просыпается от бессчетных часов сна. Он чего-то ждал. Может быть, он все-таки хочет стать Bug é mon Master.

Очевидно, проигнорировав непрекращающиеся приказы матери складывать кровать, он наконец проверяет время, чистя щеткой одной рукой. Уже 11:55. Внезапно его тело пронизывает разряд молнии, мало чем отличающийся от удара молнии Пикачу. Он поспешно мчится в свою комнату, не надев колпачок на зубную пасту. Да благословит его бог SSD, и ноутбук загружается за 34,5 секунды. С кусочком хлеба и ложкой арахисового масла без сахара в руке он наконец присоединяется к встрече локтем.

«Привет и доброе утро всем присутствующим! От имени Компьютерного общества Индии мы приветствуем вас на Bugedex - уникальном семинаре при сотрудничестве с CloudSEK. Я, Субхану (и я, Мэтью) буду вашими хозяевами в течение дня, пока вы окунетесь в мир Bug Bounty и напишете отчет ».

и так это началось…

Подскажите шторы.

Начинаются разговоры об ошибке. Опытные специалисты CloudSEK знакомят с этими надоедливыми насекомыми с нуля.

Ошибка программного обеспечения - это ошибка, недостаток, сбой или сбой в компьютерной программе или системе, из-за которой она дает неверный или неожиданный результат или ведет себя непреднамеренно. (1)

Баги продолжают проноситься мимо его головы (очевидно, это был каламбур). От миллионов потерянных на фондовой бирже до десятков погибших в результате крушения вертолета. (2) Он понимает вес на своих плечах. Он понимает, что, если ему удастся добиться успеха на сегодняшних занятиях, он сможет что-то сделать с этими ядовитыми ошибками раз и навсегда. Но очевидно, что с этой огромной силой на него также будет возложена большая ответственность по устранению как можно большего количества ошибок. Теперь он должен идти дальше.

Установлено, насколько вредны эти насекомые, но как наш бессонный главный герой с жирными пальцами что-то делает с ними?

Г-н Шахрукх и г-жа Сай сообщают, что, хотя невозможно устранить все ошибки в нашем исходном коде, но тщательное тестирование на различных этапах SDLC pipeline может гарантировать, что конечный продукт не содержит ошибок на 99,9%, как и dettol.

Новый термин заинтриговал нашего главного героя, чья сутулость и инстинкты заставляли его прокручиваться с одного барабана на другой. Выпрямляет спину и почесывает подбородок. Каковы его дальнейшие действия?
Google.

SDLC - это процесс, выполняемый для программного проекта внутри организации, занимающейся разработкой программного обеспечения. Он состоит из подробного плана, описывающего, как разрабатывать, поддерживать, заменять и изменять или улучшать конкретное программное обеспечение. Жизненный цикл определяет методологию улучшения качества программного обеспечения и всего процесса разработки. (3)

Он заинтригован. Его набег на кодирование был в основном дезорганизован, и отсутствие гигиены в его бесчисленных кодах печати шаблонов стало совершенно очевидным. Поэтому он внимательно слушал.

За кратким введением в конвейер SDLC последовало глубокое погружение в фазу тестирования, где мы фактически находим ошибки. Удивительно, но наш герой все еще внимательно следил за происходящим, жертвуя бесчисленными пузырьками упаковочного материала для своего арахисового масла.

Г-н Шахрукх начал рассказывать о важности тестирования и различных тестовых средах, в которых разработчик может запускать тесты. Владение кодом и доступ к внутреннему устройству помогли разграничить их. Но конечная цель любого процесса тестирования одна и та же - максимально удобное взаимодействие с пользователем.

«Jusqu’ici, tout va bien», то есть «Пока так хорошо».

Эти слова из его любимого французского фильма пришли ему в голову, когда семинар начал погружаться в мельчайшие технические детали из области кибербезопасности. Он выпрямил спину, убрав нуарную эстетику «Ла Эна» из своей головы. Игра началась.

Подскажите шторы.

Пока наш герой хихикал над множеством имеющихся в его распоряжении каламбуров, BugéDex продолжал катиться. Следующим очевидным шагом было: «Как мы передаем результаты, полученные в процессе тестирования?»

В то время как мечты нашего главного героя стать одиноким охотником за головами из мандалорца нереальны, идея нанятого наемного охотника за головами действительно начала его заинтриговывать.

Jusqu’ici, tout va bien.

Но не надолго :')

После этого Mr. Судипта подошел к нему и представил обзор 10 лучших приложений OWASP (проект по обеспечению безопасности открытых веб-приложений). В этот список, который обновлялся в течение нескольких лет, вошли десять наиболее распространенных уязвимостей веб-приложений.

После подробного ознакомления с OWASP г-н Судипта продемонстрировал список 10 лучших веб-приложений OWASP и сообщил нам о нескольких первых недостатках. Он углубился в инъекции и инъекционные атаки.

SQL был чем-то, что наш главный герой все еще не совсем понимал. Мы могли видеть, как в нем нарастает тревога, когда он не мог полностью понять, что происходит. Случайный поиск в Google, тяга к воде для питья и обильное потоотделение. Эта паника оттого, что остаться позади, сильно поразила его и сильно ударила.

Итак, это была точка тестирования (или угловая точка, если мы говорим о программировании). Если он дрогнет и покинет соревнование прямо сейчас, ничего не изменится. Он по-прежнему будет «новичком» в этой области. Он слишком много раз изменял своей мечте. Возможно, тема покемонов - это то, что его заинтриговало вначале, но теперь он просидел сессию исключительно по собственному желанию.

Эта привычка легко вникать в дела, но не доводить до конца, стала для него слишком обычной. Но он был не одинок в этой борьбе.

Легко погрузиться во что-то новое, потому что за ними стоит импульс, а начальный барьер для входа очень тонкий. Но по мере того, как погружение становится все глубже, выход - не легкая прогулка. С этим сталкиваются все и нашего растерянного главного героя не меньше. Но теперь пришло время прорваться и не отступать.

Но что заставило его осознать все это самостоятельно? Может быть, у всех нас есть рассказчики, которые подбадривают нас. Нам просто нужно подключиться к ним в нужный момент :)

Спешный поиск в Google и поиск документации по SQL позволили нашему герою понять все, чему учил г-н Судипта. Возможно, это было утомительно, но он гордился тем, что не сдался. Это было бесценно.

Подскажите шторы.

‹‹INTERMISSION››

После обеда занавески наконец открылись, и появился наш главный герой. В той же комнате, что и последние полтора года, надеясь, что откроется колледж. Он, наконец, поддался уборке в своей комнате после новой мотивации в сеансе OWASP. Теперь он был полностью настроен перед своим ноутбуком, готовый снова заняться этим. Но на этот раз он был не один.

Поке-шары помогают поймать ослабленных покемонов. Что, если бы было что-то, что могло бы помочь в обнаружении и выявлении уязвимостей в мобильных приложениях. Что ж, BeVigil от CloudSEK как нельзя лучше отвечает всем требованиям.

Jusqu’ici, tout va bien.

Следуя указаниям г-на Шахруха, наш главный герой разбирался в проблемах, отображаемых на BeVigil, но все еще пребывал в оцепенении.

Искренне наш, который всю свою жизнь был одинок, решил отомстить популярному приложению для знакомств (имя не разглашается по соображениям безопасности).

После навигации по веб-сайту и очень любезной проверки ответов от его поклонников на столе для нашего героя было разложено несколько карточек.

В результате человеческого поведения и эволюции за 19 лет, проведенных на этой планете, наш главный герой был явно заинтригован красным цветом.

WebView игнорирует ошибки SSL
В вашем приложении небезопасная реализация обработчика WebViewClient.onReceivedSslError. В частности, реализация игнорирует все ошибки проверки сертификатов SSL, что делает ваше приложение уязвимым для атак типа «злоумышленник в середине». Злоумышленник может изменить содержимое затронутого WebView, прочитать переданные данные (например, учетные данные для входа) и выполнить код внутри приложения с помощью JavaScript.

Хм…. Google.

После нескольких опасных поисков в Google и веселой иронии, наш действительно вернулся.

Подобная ошибка, которая игнорирует ошибки SSL, делает приложение уязвимым для нескольких эксплойтов, таких как DROWN & HEARTBLEED (4), SSL STRIPPING ATTACKS (5) и т. Д. Но в первую очередь MITM или Man in the Middle атак .

Итак…
Приложение для знакомств
, которое
может использовать мужчина посередине…
XD

Весело поэтично и приятно для нашего главного героя, который провел следующие 34,5 секунды, переписывая об этом своим друзьям.

BeVigil сделала кибербезопасность доступной для нашего героя и значительно снизила входной барьер. И позволил ему слишком много хихикать.

Он мог бы написать этой шутке своему возлюбленному, чтобы начать разговор :)

Подскажите занавеску.

‹‹ Заключение ›

Большинство повествований и по сей день основывается на архетипической технике написания рассказов, называемой «Путешествие героя».

Часто, когда история следует этому плану, это дает ощущение завершения для всех участников, независимо от того, насколько шаблонной она может быть.

И закрытие - это именно то, с чем я ухожу. Меня позвали в приключения замечательные люди из CSI-VIT. Моя трансформация началась в 12 часов 3 октября, когда я едва проснулся: P. Мистер Шахрукх, г-н. Судипта и г-жа Руководство Сая (и толчок от голоса в моей голове) помогли мне справиться с постоянными искушениями и проблемами, с которыми приходится сталкиваться людям в обуви, подобной моей. Я доволен тем, к чему пришла моя история. Искупление и возвращение в свой путь я должен пройти в одиночку. Но Пока все хорошо.

Jusqu’ici, tout va bien.