Трудоустройство после ВУЗА

Nafanya

они вам ничего не должны. это вы им должны за те деньги, что они вам плотят. а задание им нужно было выполненное еще позавчера. а то, что вы не можете им выполнить его до позавчера - ваши личные проблемы. выкручивайтесь.
да, насчет заданий, общее среднее задание выглядит так - "пойди туда, не знаю куда, принеси то, не знаю что. и чтоб мне очень понравилось это оно, и чтоб оно решало мне мою проблему, которую я не могу тебе внятно объяснить, бо ты очень туп. и чтоб все было быстро, с позитивом и за твой счет"

гы гы. съехали. дали элементарное задание на 4 строки включая шапку и целый месяц когда вы учите сложнейй(йй)ший ланг верилог и не грузите их своими шелами и гордой самооценкой

 

Nafanya
Мой тебе совет. Бей болт на эту фирму, она что, единственная в России, что ли?
Ну поназадавали тебе вопросов. Ну не подошёл. Ну и хрен с ним. Помахал им ручкой и пошёл в другую устраиваться.
А эти фирмы годами могут вакансию открытой держать.
Теперь по поводу знаний. Всего знать НЕВОЗМОЖНО В ПРИНЦИПЕ.
Если ты чего-то не знаешь, то это всегда можно восполнить из соответствующей документации. Мало того, изученный тобою материал при неактивном использовании будет уже через год на 95% забыт.
То, что ты не устроился - это исключительно привиредливость работодателя, а не твоё незнание.

 

Nafanya

не знаю. я себе так и не нашел времени написать.

MSoft

недавно, была забавная ситуация - один тов все жалился но отсутствие работы. точнее была у них в городе, но ерунда и < $300/мес.
и тут как раз володя (или крис?) дал объявление о найме на удаленку на $2000/мес. как всегда начался хай, требования поболе хлеба и зрелищ. чел тот проникся хаем и не напрягся заиметь то место.
имхо, тут таже ситуация. чел хочет доказать всем, что он огого, но вокруг все дауны, потому никто его оценить не тянет. а поработать он хочет не особо. даже за деньги

 

даладно ... заклевали молодого ... нормальный студент

Nafanya
резуме норм. не пережывай. ходи еще на собеседования

не брать могут вот почему - ты по резуме идешь на системщика, а это 1) редкие спецыальности, и 2) многие принимающие решение считают (я согласен) что системщик это следующая ступень после прикладника. типа сначала правильно поработать прикладником сколько-то лет

ну и просто так тоже могут не брать ... вакансия есть, например головная контора открыла её, а конкретный отдел НЕ ХОЧЕТ себе еще одного девелопера ... манагер будет честно сосбеседовать и стабильно проваливать ... "не тот что надо"

 

Nafanya

Если бы у меня было такое резюме когда я после диплома (физика) начал пытатсо программером поработать - я бы был просто счастлив Я размазывал по A4 свой единственный asm и ходил по этим собеседованиям ... взяли с какой-то там попытки.

В вашем резюме на первый взгляд все хорошо но вот эти эксплойты выглядят большим тяжелым пунктом. Вы пишете "разрабатываю эксплойты" что имеет подтекст: 1) вы ищете новые уязвимости что намного сложнее чем реализация; 2) если принять что так и есть - вы что, хаккер? Плохиш? Это отвратит малодумающих людей которых более 90% на переднем фронте любой конторы - тупые манагеры по персоналу или в кадровых; 3) если все так здорово и это ваш лучший скилл - почему не первым пунктом? 4) если нет, зачем так много деталей об этом - и почему почти никаких деталей про C/C++? 5) Если вы декларируете знания по криптографии как "базовые" - это лучше сдвинуть в конец.

Если спрашивают про RSA (нахрена им это??? Они что, криптозащитные диски пишут?) - а вы не знаете деталей - покажите свое общее понимание - зачем вообще криптография, чем симметрия от несимметрии (грубо), просто скажите что знаете что в основе принцип о трудной задаче разложения .... бла-бла ... понимаю что от меня как от разработчега требуется просто найти правильную библуху и проверить ее на тестах и подрубить к проекту.

Да, самое главное - ищите где зп выше и вообще а про эту контору забудьте. Все, абсолютно все вам никогда не обрадуюццо.

 

Рядом с длинной арифметикой, вестимо. Том 2, раздел 4.5.4.

 

Nafanya

Ахаха, добро пожаловать в реальный мир ))

 

Nafanya

Посодють.

INFINITY

Вообще добавьте юмора, не примут из-за этого, то и не стоит к таким людям наниматься.

r90

По-вашему. Кнут теоретик, лучше читать его учеников.

 

Booster
<<Посодють.
Так он же памятник!

Сплойт -это PoC - доказательство взглядов исследователя, а не вредоносная программа -вирус. Их применяют, чтоб на проекторе демонстрировать уязвимость, которую потом закроет производитель ПО. Тем более сплойт может иметь начинку, которая совершенно безопасна, то есть шеллкод просто выведет на уязвимой системе какое-нить сообщение для доказательства спецам и всё.

 

Благодаря этому топику сделал много полезных для себя выводов.
В дальнейшем думаю развиваться в сторону исследования ядра WinNT.
Всем огромное спасибо за участие, советы, справедливую критику.
Да пребудет с Вами сила.

 

Nafanya
лучше Линукс и опен сорс. серьезно.

 

у нас возле деканата объявы вешали, что типа приглашаются выпускники с такими-то интересами на такие-то условия. Я позвонил, встретился - ну и понеслось. До сих пор там работаю, уж... кажись, 8-й год. Зряплата неплохая, машину купил-продал, теперь вот за квартиру расплачиваюсь, надеюсь через годик расквитаться окончательно. Учился на инженера-конструктора, а работать взяли программистом. На собеседованиях долго терзали, но выясняли в основном не уровень как специалиста, а психотип, самооценку, устремления и жизненные цели, а потом уже - тесты на профпригодность, их было 2, кажется. Бесплатно написать надо было несколько прог дома, довольно специфических, на каждую давали максимум месяц, потом принес, объяснил как работает, потестили, посмотрели код, потом к начальнику на беседу - в итоге взяли.
За время работы бывали моменты, когда искал подработку (обстоятельства трбовали много денег), так вот за время поисков сложилось мнение, что в конторы, которые хотят сотрудников с опытом, лучше не ходить. Их можно понять, но зачем мне работодатель, которые считает каждую копейку и боится дать мне лишних пару месяцев на самоподготовку? Они и потом будут считать каждую минуту и каждый рубль. На таких лучше разово работать потом, если захочется. И драть с них по максимуму, не давая их хотелкам вылезать за рамки ТЗ. А устраиваться без опыта, по моему личному и субъективному мнению, лучше для начала в какую-нить крупную контору (можно даже государственную), которая может позволить себе ковать кадры непосредственно под себя, такие зачастую ищут студентов без опыта. А через годик-другой, если не раздолбайничать, можно будет или там подняться, или обрасти практическими знаниями и найти другую работу, но будучи уже не зеленым школяром, а опытнейшим специалистом в области <...>

 

Nafanya
> Обнаружение и эксплуатация уязвимостей в ПО (владею техникой переполнения буфера
> в стековом кадре, техникой инжекции шеллкодов, техникой обхода защит StackCookie,
> SafeSEH, DEP, разрабатываю эксплойты)
> Технический английский (читаю и понимаю техническую литературу)
удаленно за бугор не пробовали устраиваться? требования -- мягче, зарплаты -- выше. секьюрных контор намного больше. я бы, возможно, даже мог порекомендовать вас, но для этого нужно пощупать насколько глубоко вы знаете отквоченное выше.

ЗЫ. а почему именно стек. на него уже давно забили. как на счет кучи? целочисленного переполнения? ударов по памяти? мягкого и жесткого хип спрея? JIT?

 

да он же писал - прочитал описание одной уязвимости и по ней написал шеллкод. На этом его знания и заканчиваются. Просто в универе на него за это посмотрели, как на бога - вот он и решил, что это мега-достижение.

П.С.: если крис отписался в теме, она обречена на флуд не меньше еще 10 страниц (причем, в ближайшие дня два)

 

MSoft
> да он же писал - прочитал описание одной уязвимости и по ней написал шеллкод.
всю ветку не читал.

> На этом его знания и заканчиваются.
чел. писал "эксплоитЫ" (plural), да и обойти DEP, SafeSEH просто так не получится. это тянет за собой кучу других знаний и навыков, далеко выходящих за рамки написания шелл-кода.

> П.С.: если крис отписался в теме, она обречена на флуд
> не меньше еще 10 страниц (причем, в ближайшие дня два)
на что спорим?

 

kaspersky
Два эксплойта только разработал, т.к. это занятие требует кучу времени, а толку от этого мало(применять ибо нельзя).
1) Простой(чтоб научиться писал). Тестовая программка на си, которая считывает строку scanf'ом. Затем к ней сплойт на Python разработал. SEH_Based_Overflow использовал для обхода защиты stackcookie. Архив лежит на форуме(http://www.wasm.ru/forum/attachment.php?item=4158).

2)Эксплойт для демонстрации уязвимости MS08-067 на XP_SP2. Комп кидает удаленному хосту пакетик по сети и получает Remote_CMD с правами System.(5-недель разработки по 8 часов в сутки, в основном ревёрсинг, ну и на обход DEP много времени потратил).
Эксплойт написан на Python. Т.К. сплойт может использоваться для доступа к чужим данным,он закрыт. DEP обходил техникой ret2libc, долго точил шеллкод. Сплойт сложный, про него статью можно целую написать.

Началось с того, что в журнале Хакер прочитал об эксплойте MS08-067 под WIN2000,который уж давно никто не ставит. Искал потом долго в нете паблик сплойт под WINXP_SP2 типа Remote_CMD. Оказалось таких нет,все закрыты,только DOS-отказ в обслуживании открыт. Вот и решил написать сам.

Учился по материалам corelan.be. Больше не писал, т.к. времени уходит много,а толка от них мало, применять можно только с согласия юзера, чтоб протестировать.

 

http://wasm.ru/forum/viewtopic.php?pid=403540#p403540

http://wasm.ru/forum/viewtopic.php?pid=403540#p403540

есть варианты? только без негритянок и прочих извращений

 

Nafanya
Если человек написал два эксплойта по материалам упомянутого сайта, то весьма сомнительно, что это можно добавлять к резюме. Это слишком маленький опыт.

А по поводу толку и применения - это не совсем правда. Если есть уверенные знания в области разработки эксплойтов, то на этом можно неплохо заработать. Многие ресёрчеры так и живут - продают эксплойты. Как пример, можно посмотреть что предлагают ZDI, iDefense Labs, SNOsoft. На эту тему есть хороший доклад от Чарли Миллера - weis2007.econinfosec.org/papers/29.pdf

 

EntC

была история, один товарищ както прочел доклад об уязвимости пдф-защиты. знаете?

с учетом усиливающейся деанонимизации денежных переводов, я бы смотрел не только на примеры предложений, но и на законы и их практику. ибо есть и неуспешные примеры. например, недавно был треп за девушку-"хакера" и выданный ей срок.

а уж тем более писать об этом в резюме.. знаете, первого хватают не того кто украл, а того кто свистел кругом, что владеет техникой украдения и даже практику имел.