Вы устали читать бесконечные новости об этическом взломе и не совсем понимаете, что это означает? Давай изменим это!
Этот пост предназначен для людей, которые:
- Нет опыта работы с кибербезопасностью (взлом)
- Имеете ограниченный опыт.
- Те, кто просто не может отдохнуть
Хорошо, давайте погрузимся в статью и предложим несколько способов добиться успеха в кибербезопасности.
Я получаю много писем о том, как стать хакером. «Я новичок в хакерстве, с чего мне начать?» или «Я хочу иметь возможность взломать учетную запись Facebook моего друга» - вот некоторые из наиболее частых запросов. В этой статье я попытаюсь ответить на эти и другие вопросы. Я дам подробные технические инструкции о том, как начать работу в качестве новичка и как развиваться по мере того, как вы приобретаете больше знаний и опыта в этой области. Взлом - это навык. И вы должны помнить, что если вы хотите научиться взламывать исключительно для развлечения взлома учетной записи Facebook или электронной почты вашего друга, у вас ничего не получится. Вы должны решить научиться хакингу из-за вашего увлечения технологиями и вашего желания быть экспертом в компьютерных системах. Пора сменить цвет шляпы 😀
Я получил хорошую долю шляп. Черный, белый или иногда черноватый оттенок серого. Чем темнее становится, тем веселее вы получаете. -MakMan
Введение!
Во-первых, давайте просто согласимся с тем, что выражение «карьера в кибербезопасности» немного похоже на выражение «карьера в банковском деле», то есть это общий термин, охватывающий десятки ниш в отрасли. В кибербезопасности мы можем, например, говорить о цифровой криминалистике как о карьере или о обнаружении вредоносных программ / программного обеспечения, аудите, пентестинге, социальной инженерии и многих других направлениях карьеры. Каждая из этих подкатегорий в рамках кибербезопасности заслуживает отдельного сообщения в блоге, но для целей этой статьи давайте сосредоточимся на некоторых важных общих требованиях, которые необходимы каждому, прежде чем начать успешную карьеру в ИТ-безопасности.
Если у вас нет опыта, не волнуйтесь. Нам ВСЕМ нужно было с чего-то начинать, и нам ВСЕМ нужна была помощь, чтобы добраться туда, где мы находимся сегодня. Никто не является островом, и никто не рождается со всеми необходимыми навыками. Period.OK, так что у вас нулевой опыт и ограниченные навыки ... мой совет в этом случае - выучите себя некоторым абсолютным основам.
Давайте начнем эту вечеринку.
1. Что такое взлом?
Взлом - это выявление слабых мест и уязвимостей какой-либо системы и получение к ней доступа.
Хакер получает несанкционированный доступ, нацеливая систему, в то время как этичный хакер имеет официальное разрешение законным и законным образом оценивать состояние безопасности целевой системы (систем).
Есть несколько типов хакеров, немного «терминологии».
Белая шляпа - этичный хакер.
Черная шляпа - классический хакер, несанкционированный доступ.
Серая шляпа - человек, который получает несанкционированный доступ, но раскрывает слабые места компании.
Script kiddie - человек, не имеющий технических навыков. готовые инструменты.
Хактивист - человек, который взламывает какую-то идею и оставляет несколько сообщений. Например, забастовка против авторских прав.
На самом деле цель этичного взлома - выявить слабые и уязвимые места системы, чтобы компания могла их исправить. Этичный хакер документирует все, что он делал.
2. Навыки, необходимые для того, чтобы стать этичным хакером.
Прежде всего, чтобы быть пентестером, вы должны быть готовы постоянно узнавать что-то новое на лету или быстро дома. Во-вторых, вам необходимо иметь сильное базовое понимание хотя бы одного языка программирования / сценариев, а также понимание сетевой и веб-безопасности.
Итак, вот несколько шагов, если вы хотите начать прямо сейчас ...
- Learn To Code (программирование).
- Понимать основные концепции операционной системы
- Основы сети и безопасности
- Разметка и как можно больше технологий!
3. На какой платформе кодировать: -
Это зависит от того, на какой платформе вы будете работать. Для веб-приложений я предлагаю вам изучить HTML, PHP, JSP, и ASP. Для мобильных приложений попробуйте Java (Android), Swift (iOS), C # (Windows Phone). Для настольного программного обеспечения попробуйте Java, C #, C ++.
Я также хотел бы порекомендовать Python, потому что это язык общего назначения и в настоящее время становится все более популярным из-за его переносимости.
Но что действительно необходимо для каждого языка программирования, так это изучить основы программирования, такие концепции, как типы данных, манипулирование переменными в программе на уровне ОС, использование подпрограмм, известных как функции, и так далее. Если вы выучите их, они будут одинаковыми для всех языков программирования, за исключением некоторых изменений синтаксиса.
Подсказки: -
- Быть экспертом в любом языке программирования, понимать операции на уровне ОС на этом языке (различаются в разных компиляторах) или изучать язык ассемблера, чтобы быть более обобщенным.
- Не надейтесь, если вы не можете добиться результатов за короткий промежуток времени. Я предпочитаю стиль обучения «Мияги». Так что сохраняйте мотивацию к тому, что будет дальше.
- Никогда не недооценивайте возможности сетевых и системных администраторов. Они могут сделать вас своим * гипотетическим * рабом в корпоративной информационной среде 😀
Ресурсы для начала работы:
Я хотел бы поделиться некоторыми ресурсами, которые я нашел лучше всего, когда учился с нуля.
Есть целый список ресурсов, которые я создал для вашей помощи 😉 (https://github.com/husnainfareed/Resources-for-learning-ethical-hacking/)
Еще один совет …… Регулярно подписывайтесь на http://h1.nobbd.de/, чтобы получать обновления с помощью HackerOne. Общедоступные отчеты об ошибках. Вы можете многому научиться у них, Следуйте https://www.owasp.org/index.php/Cat…
Кроме того, вы можете присоединиться к сообществу Slack для хакеров.
https://bugbounty-world.slack.com/
Также вам следует подумать о том, чтобы попрактиковаться в
http://www.vulnerablewebapps.org/
http://hackyourselffirst.troyhunt.com/
https://github.com/s4n7h0/xvwa
http://zero.webappsecurity.com/
http://crackme.cenzic.com/kelev/view/home.php
https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
Публичные отчеты HackerOne!
Эти отчеты могут помочь вам получить более подробное представление об охоте за BugBounty ...
Некоторые моменты, которые следует отметить:
- Самоучитель: Почему? Потому что без этого вы не извлечете уроки из того, что переживаете, вы не сможете решить свои проблемы.
- Ежедневно обучайте себя: читайте статьи, рецензии, видео или слайды, чтобы узнать больше
- Знайте свою цель, прежде чем продолжить, убедитесь, что вы знаете свою цель. Потратьте большую часть своего времени на определение своей цели и определение услуг, которые она использует.
- Нанесите на карту цель. Получите лучшее представление об инфраструктуре цели, чтобы лучше понять, на что нацеливаться.
- Идите дорогой, по которой никто не идет: не будьте обычным чуваком. Думайте нестандартно, подумайте, что упустил разработчик, подумайте, на что нацелены обычные парни, в зависимости от этого выберите свой путь.
- Будьте ниндзя: вы должны быть быстрым и точным, как ниндзя. Знай, картографируй, точно и быстро нацеливай свою жертву. Это работает, только если вы умеете идти другим путем и уникальны.
Если вы хотите узнать больше о Recon и о том, как преследовать Bug Bounty, прочтите эту статью Как правильно провести разведку, прежде чем преследовать Bug Bounty ».
Будем надеяться, что вы не собираетесь заносить этот пост в черный список до конца своей жизни. У меня впереди много интересного. Чао.
Если вам понравилась эта история, нажмите кнопку 👏 и поделитесь ею, чтобы помочь другим найти ее. Не стесняйтесь оставлять комментарий.
Если вы интересуетесь этичным взломом или реверс-инжинирингом, вам следует ознакомиться с коллекцией Руководств по Infosec от наших друзей из Guided Hacking.
