Дмитрий

Советую всем своим студентам, читать Лутца и Марка Саммерфилда — «Python на практике». Сразу отпадут многие вопросы и портфолио будете нарабатывать...

Изучайте Android SDK, Java и C++. Они точно в одночасье не исчезнут... А востребованность очень большая сейчас. Меня часто приглашают на зарплату от 160 т. руб. И задачи там не сказать, что самые трудные и трудозатратные... Главное читайте и следите за трендами, но старайтесь не следовать им! )

Было у меня резюме на вакансии Python-программиста, звонили по поводу разработки ПО и скриптов для телекоммуникационной сферы и их протоколов. Там был нужен чистый Python и возможно написание своих модулей и библиотек. А так, сейчас все уперлись в Django и web. Посмотрите Flask...

Сейчас мало актуальных тем по хакингу и антихакингу. Тем более про реверсинг и исследование программ. Есть такой автор Крис Касперски, но ему сейчас не до книг... Лучше поискать статьи на форумах крякеров, типа exelab.ru Там и софт есть под разные платформы...

Сначала попробуйте простые сканеры уязвимостей. Можно триальные версии попробовать. XSpider, Acunetix Web Vulnerability Scanner, Retina, Nessus

У меня часть кода из других моих и чужих проектов. Который хорошо отлажен и функционален. Это очень сильно ускоряет разработку новых прилдожений и веб-сервисов. Пишите код универсальный, для использования в будущих проектах.
Хотя видел генераторы для ускорения и создания форм обратной связи, анкет и т.п. но сам мало ими пользовался, сложно расширять их и переделывать...

Я начал изучать фреймворки, почти ничего не зная о них. Потом читая код, собственно и пришло понимание... Нужна практика и теория одновременно: ООП, MVC, ORM и т.д. Далее уже только Google в помощь!

Может Java и применяется, кроме Android'а, но только в Java EE. В настольных я не думаю, что она сейчас будет актуальна в ближайшее время. Есть более интересные разработки и технологии.

Самые заказываемые это: Wordpress, Joomla, Bitrix... Но и фреймворков 2-3 будет вполне хватать для студии...

Я писал в блоге компании разные типсы и триксы. Т.е. все, что относится к веб-разработке и разработке приложений и программ. И это давало дополнительный приток посетителей и читателей. Но клиенты в этой писанине, скорее всего не разбираются... Поэтому польза от нее сомнительна в плане привлечения новых клиентов, но вопросы по разработке сыпались постоянно...

Делайте обязательно перерывы в работе, пейте чай (кофе), воду. Выходите "проветриваться" и подышать свежим воздухом. Главное не "сгореть" на работе, иначе просто переработаете и от этого лучше никому не станет...

Да, это XSS и можно исполнять почти любой (Если фильтры все же есть) JavaScript код в браузере клиента... Нет фильтра на кавычки и они не преобразовываются в html-код. Можно попробовать разное:

"onfocus=prompt(/OPENBUGBOUNTY/) autofocus= />
"onmouseover=confirm(/OPENBUGBOUNTY/)
"onload=prompt(/XSSPOSED/)

Для защиты нужно бы использовать функции PHP:
strip_tags() – удаляет из строки все HTML-теги, кроме разрешённых.
htmlspecialchars() – заменяет все спецсимволы на их HTML-аналоги.

Обычно взламывают и получают доступ с помощью ошибок на сайтах. Но их периодически находят багхантеры и админы их исправляют, поэтому и взломов глобальных сейчас очень мало...

Руками и с помощью Burp Suite и sqlmap можно... Есть и платные, но дорогие, типа Acunetix.com

Если на перспективу работы, то уже не стоит... Лучше Go тогда. Если для себя, то да, можно и изучать. Но паралельно лучше изучать ООП и паттерны проектирования.

Тема безопасности мобильной разработки сейчас даже больше актуальна, чем web безопасность... Ведь все данные мы уже храним только в своих смартфонах и в облаках... ) А это лакомый кусок для хакеров. Хотя основы и ошибки все те же: sql, права доступа, слабые пароли и т.п.
Вышка нужна для компаний, но знания реальные они не дадут никогда. Знаю по своим студентам! Теории у них много, но практических знаний и навыков почти нет...

Могли получить пароли через бесплатный Wi-Fi... А так простые пароли, трояны, вирусы. Пути получения доступа все стандартны...