|
|
|||
08.12.2014, 01:30
|
#22 | |
Цитата:
I have experience with writing information security training materials on a professional level. Major international corporations pay a lot of money to study my work. I've also done penetration testing on a professional level and the company that I work for does penetration testing, but it's another department - I work in the online learning department. In other words, I can easily put together a training course about (virtually) any subject relevant to information security, because I do that kind of stuff every day anyway. I can also tell you if a course is good or not. I would not recommend taking any of the courses that you've mentioned here so far - they will not teach you what you will actually be doing as a penetration tester, which is going to be a lot of writing and some programming, in addition to the actual testing. You have to at least be able to read code and understand the issues that cause vulnerabilities. It is not enough to just find a hole, especially if you are using an automated tool to do it, you have to also explain what caused it and how to fix it. The information that you have collected here is useful to me, so please continue, and maybe I'll put together an outline of what in my opinion is a useful penetration testing course. I'm an information security professional with a lot of experience and I'm interested in networking with the next generation of professionals, so I have some interest in helping you succeed in this field. PRO-Tip: Instead of CTF, I recommend setting up virtual machines with different OS, installing popular applications with known vulnerabilities, and then breaking into them. For example, you can install a WordPress with a vulnerable plugin and then write an exploit to break into it. You will gain real world sysadmin knowledge, understanding of real-world design errors, and real-world application design patterns - you will see real database schemas, real filesystem structures and real code. I recommend focusing on studying web applications. For network penetration testing, you're not really going to do things much differently from an automated scanner. Most of the time you also don't really need to go deep into the system, in fact your customer will probably not want you to go in deep, they'll just want you to find the holes in the application and explain how to fix them. Последний раз редактировалось CyberSurgeon; 08.12.2014 в 01:37.. |
||
|
|
|
08.12.2014, 16:14
|
#24 | |
|
Цитата:
|
|
|
|
|
|
08.12.2014, 17:10
|
#25 | |
|
Banned
|
Цитата:
Программист не в силах заставить свои руки нажимать не те клавиши, им рулит алгоритм, который сложился в голове, и "неправильных" действий он выполнить не в состоянии, именно для исправления этого ограничения и существуют "профессиональные дураки". У меня не получается думать одновременно, как программист и, как хакер. Поэтому, когда пишу программу - включаю "программиста". Потом переключаюсь на поиск уязвимостей и проверяю код совсем "другими глазами". |
|
|
|
|
|
08.12.2014, 18:16
|
#27 | ||
|
Цитата:
Какое-то очень странное представление о программистах =) Они ж разного уровня квалификации бывают. А хакер должен иметь знания (причём глубокие) и навыки программирования и сисадминистрирования, ибо довольно странно пытаться ломать то, чего не понимаешь. Будет запускать тулзы просто, как скрипт-кидди. Цитата:
Но это не панацея, конечно, можно и из багбаунти или из книжек больше пользы извлечь. Просто ТС спросил про курсы, т.е. ему нужен какой-то сформированный фреймворк и мотивация для обучения, поэтому я сказал про цтфы, потому что там более-менее понятно, чему и как учиться, есть задачи разного уровня и регулярные соревнования. Пункт 2 плюсую, пункты 3-4 я бы заменил на совет участвовать в bugbounty, а не связываться с криминалом. Это и не бесплатно, и законно.
__________________
Current: Penetration Testing, Application Security === Old: Заметки о взломе ; проверка на уязвимости A hack CTF |
|||
|
|
|
|
08.12.2014, 21:59
|
#29 | |
|
Цитата:
Вообще очень много набралось интересных сообщений, так же затронулась не менее интересная тема про навыки программирования и сис. администрирования. Разбавлю это оффтопное сообещние конкретикой: если ТС инетерсно мнение одного из баунти ханетров и специалиста по безопасности веб-приложений Дмитрия Бумова (блог bo0om.ru), то в своем ответчике на вопрос: стоит ли пройти стажировку "Zero Security: A" в PentestIT и на кого она расчитана? он дал следующий ответ: Скажу честно. Если бы в моё время была подобная стажировка, то я бы сэкономил пару лет =) Если ты хреново соображаешь в плане иб или что-то недопонимаешь - это огромный пинок под зад, который "просвятит" тебя во многих сферах. А если, скажем так, ты "шаришь", то зачем? |
||
|
|
|
 |
| Метки |
| вардрайвинг, пентест |
| Опции темы | Поиск в этой теме |
| Опции просмотра | |
Линейный вид
|
|
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2022, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright ©2000 - 2022, Jelsoft Enterprises Ltd. Перевод: zCarot