Обо мне

Закончил Саратовский государственный университет имени Н.Г. Чернышевского, Биологический факультет, специальность «экология» с красным дипломом. В 2006 году успешно защитился на кандидата биологических наук по специальности «микробиология».

Учебу студентом и аспирантуру совмещал с работой, связанной с IT, в том числе – преподавание в школе. В качестве хобби – занимаюсь штучной разработкой сайтов «под ключ» (дизайн, верстка, адаптация CMS DLE, SEO оптимизация, написание дополнительного функционала (PHP, JavaScript), а также поддержкой и сопровождением законченных проектов), интересуюсь информационной безопасностью, тестированием онлайн-сервисов (поиск программных/логических ошибок и подобного).

На базе коммерческой CMS DLE были разработаны модули интернет-магазинов по продаже запчастей с интеграцией 1С заказчика (opox.ru, truckplast.ru, zapmotors.ru). Запущен интернет-магазин по продаже кремов с интеграцией СДЭК (bsfly.ru).

В 2015 году участвовал в монтаже оборудования для подключения к сети Интернет удаленного объекта по радиоканалу через Волгу. Дальность составила около 21 км.

Тестировал на уязвимости и проникновение различные сайты (как правило результатом таких опытов были: либо XSS, либо внедрение HTML кода, либо SQL инъекции, либо просто отсутствие логического контроля за входящими данными), например:

• Активная XSS «Яндекс острова» – полное отсутствие фильтрации входящих данных.

• Внедрение HTML кода в «Яндекс блоги» – устаревшая фильтрация HTML тегов, пропускались современные HTML5 теги в теле сообщений.

• Логическая ошибка в фильтрации запрашиваемых данных в биллинге ТВ у МТС – чтение заявок пользователей и раскрытие их персональных данных, возможность отвечать на такие заявки.

• Внедрение HTML кода системе тикетов Саратовского биллинга ТВ МТС (было поглощение региональной компании со стороны МТС) – полное отсутствие фильтрации входящих данных в полях информации абонента, а также в полях подачи/ответа на заявку.

• В 2008 году, используя подбор распространенных пар логин/пароль, был получен доступ к почтовому ящику (забытый, вероятно, временно-тестовый) одного из министерств Эстонии, были получены некоторые реквизиты из контактной книги, пара входящих/исходящих писем. Была потенциальная возможность развить атаку, либо создать кратковременную шумиху в СМИ, прикрываясь официальным доменом.

• Физико-технический институт имени А.Ф. Иоффе РАН – «взлом» самописной системы регистрации на одну из конференций – отсутствие фильтрации входящих данных позволяло удалять заявки/загруженные файлы, получать персональные данные участников, в том числе была реализована загрузка PHP шелла.

• Саратовский социально-экономический институт РЭУ им. Г.В. Плеханова – найденная SQL инъекция в модуле новостей позволила в итоге получить логин и пароль администратора сайта, через админ-панель был загружен PHP шелл. После исправлений, подобная ошибка была найдена в другом модуле на том же ресурсе. Так же, тот самописный движок, был идентифицирован как основа сайтов двух других крупных ВУЗов города.

• Сбор реквизитов доступа на Саратовском форуме казначейства из-за возможности указывать в качестве аватара внешний ресурс и установки на удаленном сервере базовой HTTP авторизации, сохраняющей входящие данные.

• Активная XSS в конструкторе «Яндекс карты» – отсутствие фильтрации некоторых полей.

• Активная XSS на сайте вакансий Газпрома (gazpromvacancy.ru)

• Активная XSS на сайте Белорусского Сбербанка (bps-sberbank.by)

• SQL инъекция на сайте Газпром видео (gazpromvideo.ru)

• Доступ к веб-конфигу (с логин/паролями) и логам сайта Сбербанк-Технологии (sberbank-talents.ru). Раскрытие токенов API для работы с сайтами hh, superjob и подобных. Получение логин/пароль пары от MS SQL базы сайта.

• Раскрытие персональных данных пользователей (паспорта, СНИЛСы) в системе тикетов КИАС Российского фонда фундаментальных исследований (kias.rfbr.ru)

• Доступ к персональным данным из резюме, загруженным на портал вакансий банка Открытие. Возможность добавления/редактирования/удаления вакансий на портале через внутренний API сервис. Получение логина и пароля от панели управления сайтом. Потенциальная SQL инъекция (talent.open.ru)

• Автоматическая переадресация на любой URL после успешной авторизации в личный кабинет METRO Cash & Carry Russia

• Разбор SQL запросов (и дампа базы данных) в узкоспециализированном программном комплексе (заправочный комплекс). Написание тестовой программы редактора логов основного программного комплекса, перехват и подмена отправляемых данных на центральный сервер (MITM).

• Проведение в 2012 году небольшого аудита частной компании на предмет проникновения на компьютеры сотрудников и в локальную сеть организации (email рассылка от имени администратора сети с похожего доменного имени). В теле письма содержался призыв от администратора к скачиванию и запуску незнакомого ПО, замаскированного под легальное. Велся учет запусков «вредоносного» ПО. По итогу аудита был сформирован отчет-рекомендации для пользователей компании.

! Все упомянутые выше примеры были найдены за последние ~5-7 лет. На текущий момент, ошибки либо исправлены (Яндекс карты), либо проекты закрыты/заморожены (Яндекс острова, Яндекс блоги), либо заменен backend/frontend (биллинг ТВ МТС; ССЭИ РЭУ, Сбербанк Технологии).

Участие в профессиональных сообществах
Опыт работы
Разработка программного обеспечения для управления видеосервисами.
QA
Август 2019 — По настоящее время (1 год и 3 месяца)
Биоэнергия
Саратов
Системный администратор
Февраль 2010 — Август 2019 (9 лет и 7 месяцев)

• Сопровождение пользователей – инструктаж, управление учетными записями, обработка заявок.

• Техническая поддержка сети основного офиса (~35 рабочих мест) и удаленного производства (~20 рабочих мест). Консультация Московского филиала (~4 рабочих места).

• Запуск и поддержка интернет-шлюза (Linux Debian), серверов (Windows 2003/2008/2012: AD, RDP, 1C, MS SQL, внутренний чат, резервное копирование, антивирусное ПО) компании.

• Заключение и сопровождение договоров, закупка оборудования, диагностика неисправностей, мелкий модульный ремонт, инвентаризация оборудования, планирование развития IT инфраструктуры компании.

• Работа со слаботочкой (ЛВС, телефония, видеонаблюдение, СКУД), самостоятельная прокладка ЛВС, поиск подрядчиков и контроль за выполнением работ.

• Создание, поддержка, развитие сайтов компании.

Запуск нового офиса (переезд организации в собственное здание в 2010) с «нуля». Перевод интернет-подключения удаленного производства с ADSL на оптику, а также объединение обоих ЛВС в единую информационную сеть.

Организация и монтаж системы видеонаблюдения на производстве.

Были разработаны с нуля несколько сайтов компании – основной сайт (bioenergia.ru), магазин по продаже электронной версии журнала «Persona Grata», издаваемого компанией в период до 2012 года (pg.bioenergia.ru) и информационно-новостной сайт (биомедиа.рф)

Институт биохимии и физиологии растений и микроорганизмов Российской академии наук (ИБФРМ РАН)
Саратов
Инженер-программист
Август 2006 — Август 2019 (13 лет и 1 месяц)

• Сопровождение пользователей/техническая поддержка сети института (~80 рабочих мест).

• Запуск и поддержка интернет-шлюза (Linux Debian), основного сервера на Windows 2008 (1С, резервное копирование, антивирусное ПО).

Организация второго (основного) интернет-подключения института через оптику. Настройка SQUID на интернет-шлюзе для перенаправления части трафика через дружественную сеть Саратовского ВУЗа.

Был разработан и запущен сайт института (ibppm.ru) и сайт коллекции микроорганизмов (collection.ibppm.ru). Осуществлен перенос почтового сервера с устаревшего, локального оборудования на Яндекс ПДД. Введение единого стандарта наименования учетных записей сотрудников.

Организована техническая возможность для проведения шести международных молодежных конференций на базе института (разработка и интеграция модуля регистрации и личных профилей для участников конференции на сайте, подготовка печатной продукции, техническая поддержка оргкомитета).

Организован компонентный ремонт электронного микроскопа Libra 120 для бесперебойной работы института и экономии бюджета организации.

Собрано оборудование для мониторинга и SMS оповещения при критических значениях температуры и влажности в нескольких лабораториях.

Лицей №37
Саратов
Преподаватель информатики. Руководитель кружка по информатике
Июнь 2003 — Май 2008 (5 лет)

Проведение факультативов и семинаров для школьников по информатике и физике. Разработка и ведение курсов по созданию сайтов: дизайн, работа с графикой, верстка макетов (HTML, CSS, JavaScript), подготовка контента, размещение сайтов.

Преподавание уроков информатики в 7-11 классах: теория, практика и базовые основы языков программирования. Обучение основам программирования в среде разработки Delphi 7. Разъяснение принципа работы компьютера, его отдельных компонентов, порядок организация локальных и глобальных сетей.