среда, 16 декабря 2015 г.

Блог переехал на kochetkov.github.io

Давно собирался это сделать, но руки дошли только сейчас. Обновите pls свои закладки и подписки на новый адрес. Статьи неспешно перетащу по мере появления на это времени. Все новое буду публиковать только там.

суббота, 14 ноября 2015 г.

По следам вебинара "Прикладная теория Application Security"

Вебинаром остался категорически недоволен =/ Уж сколько твердил сам себе и выслушивал от других, что нужно готовиться заранее, делать тестовые прогоны и выходить на вебинар как минимум с 3-4 версией контента, ан нет - через раз вылезает какая-то суровая генетическая лень, вынуждающая готовить слайды в последний момент и импровизировать во время выступления, на ходу подбирая нужные фразы и пояснения. Посему приношу извинения тем слушателям, которые так и не поняли, что это было. Вероятно в ближайшие месяцы, проведу работу над ошибками в формате статьи или серии заметок, дабы донести основные идеи более внятным и последовательным образом.

На вебинаре я обещал дать ссылки на несколько статей о символическом исполнении, абстрактной интерпретации и т.п. Поступим проще. Вот здесь лежит подборка материалов на эти и смежные темы, которые мы в той или иной мере использовали при работе над Application Inspector. Будут вопросы - задавайте в комментариях.

Что касается книг для дальнейшего чтения, то конкретно по теории есть не так уж и много материалов и практически все мне известные можно собрать по крупицам из подборки выше. Стоит отдельно отметить выступление Meredith L. Patterson, Sergey Bratus на 28C3 в 2011 (видео, слайды) и работу Matt Bishop с коллегами, которую я упоминал на вебинаре.

Если говорить о практике, то мой TOP 5 книг, обязательных к прочтению на данную тему следующий (порядок произвольный):

"Writing Secure Code, 2nd Edition"
"The Tangled Web. A Guide to Securing Modern Web Applications"

"The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws, 2nd Edition"
"The Browser Hacker's Handbook"
"The Shellcoder's Handbook: Discovering and Exploiting Security Holes, 2nd Edition"

Собственно, серию "Handbooks" данного издательства стоит прочесть всю.

P.S: Коллегам по конкурирующему цеху: парни, согласитесь, что обсуждать технические вопросы реализации Application Inspector на вебинаре, связанном с ним лишь косвенно - не вполне корректно по отношению к остальным слушателям. Я всегда готов делиться той информацией, которой имею право делиться со всеми, кто попросит. Даже с конкурентами, причем даже с теми конкурентами, руководство которых находится со мной в контрах. И для этого совсем не нужно дожидаться вебинара с моим участием, как повода задать интересующие вас вопросы :) Мои контакты доступны - пишите, звоните, буду рад пообщаться. Я серьезно.