Дневник начинающего "хацкера"

[biizon]

Начну с того, что этот дневник будет редактироваться и дополняться по мере моего пути к достижению определенных целей.
Основная идея этой темы, такова:

• это дневник роста, как специалиста, поэтапно. Пишу примерные цели, как достигал, что изучал. Ссылки, комментарии.
• все ваши предложения и критику учитываю и при необходимости предваряю в жизнь.
• помочь таким же начинающим как я, информации очень много, и когда есть желание начать, необходима некая система в обучении. Некоторые ссылки и источники могут повторяться с другими темами на форуме, не ругайте, я учусь =)

Что имею в багаже? Базовое образование по ИБ. Есть какие-то знания "немного там и немного того", общая цель: систематизировать знания, по аудиту веб-приложений (1 этап). Иметь постоянную практику в вебе. Развиваться дальше.

Этапы:

0. Общая подготовка (до 28.08.20).

1. Основы Linux. Изучил основы bash.
   1. Книга. "Linux-Установка,настройка,администрирование".
      Ссылка скрыта от гостей
2. Основы сетей. Сетевые протоколы. Сетевые службы.
   1. Курс. "Компьютерные сети".
      Ссылка скрыта от гостей
   2. Книга. "Компьютерные сети. Нисходящий подход". Читать.
      1. Ссылка скрыта от гостей
         .
3. Основы веб-уязвимостей. Понятие, эксплуатация.
4. Изучил методологию OWASP.
   1. Оф.сайт.
      Ссылка скрыта от гостей
   2. OWASP, рус.
      Ссылка скрыта от гостей
   3. OWASP, англ.
      Ссылка скрыта от гостей
   4. OWASP, на форуме. Читать.
   5. OWASP, на "Хакер".
      Ссылка скрыта от гостей
5. Анонимность в сети, базовые вещи.
   1. Искусство быть невидимым (для общего развития). Читать.
   2. Искусство легального, анонимного и безопасного доступа...(для общего развития). Читать.
6. Практика. Установка уязвимой ВМ. Тренировка.
7. Изучаю основные инструменты для проведения pentest.
8. Английский.
9. Информационное погружение в ИБ тему (блоги, подписки, подкасты).
10. Практика. Врайтап по PentestIT lab 14.
    1. Прохождение PentestIT lab 14. Смотреть.
    2. Описание прохождения PentestIT lab 14.
       Ссылка скрыта от гостей
11. Основы сис.администрирования.
    1. Практическое руководство системного администратора. Читать.
    2. Курсы системного администратора. Смотреть.
12. Настройка VM VirtualBox.
    1. Настройка общей папки на виртуальной машине ОС Linux.
       Ссылка скрыта от гостей

1. Получил сертификат WAPT от Codeby (до 13.12.20).

1. Программа курса.
   1. Фаззинг
   2. Уязвимости
   3. Пост-эксплуатация
   4. Social Engineering
   5. Экзамен
2. Основы программирования.
   1. PHP
   2. Python
3. Английский
4. Основы Расбери
5. Понимание технологий защиты информации (WAF, VPN, VLAN, IPS/IDS, DLP, DPI и т.д)
6. Практика. Регистрация Hack the Box. Разобраться, как все работает. Попробовать .
7. Основы Windows. Изучил основы shell.
8. Смотреть врайтапы по Pentest
9. ОС Kali Linux
   1. Kali Linux. Тестирование на проникновение и безопасность. Читать.

2. Пройти следующий PentestIT Lab своими силами. (до 31.12.20).

3. Удаленная работа по аудиту веб-приложений.

1. Bug Bounty

_________________________________________________________________________________________

• Web Pentesting+

Другие направления в которых можно развиваться далее:

• Web Pentesting;
• Network Pentesting;
• Mobile Pentesting;
• SCADA Pentesting;
• Reverse Engineering;
• Malware Analysis;
• Forensics;
• Security Research;
• Hardware Security;
• Exploitation.

Вся информация представлена исключительно для ознакомления. Не применяйте полученные знания в противоправных или противозаконных целях.

 

[Shadow User]

Хорошие планы. Удачи!

 

[.Method]

Хорошая идея.
Главное, не забывай всё описывать и давать ссылки.

 

[Andy75]

Главное, не забывай всё описывать и давать ссылки.
+1

 

[biizon]

Благодарю за отклики, по ходу прохождения пути, буду отписывать по этапам и выкладывать ссылки, на все то, что буду изучать.

 

[mrOkey]

Как то оптимистично думать, что ты поймёшь базу за 25 дней

 

[biizon]

Как то оптимистично думать, что ты поймёшь базу за 25 дней

Согласен, но если только совсем с нуля. У меня есть базовое образование в ИБ, со своими пробелами и проблемами. Из практических знаний по теме тестирования, занимался разве что сканированием =)
Данной подготовкой необходимо освежить свои знания и попрактиковаться (как минимум pentestit lab, ссылка выше). Понятно, что все то, что я расписал в 0 пункте, в режиме "дом-работа-обучение" за месяц полностью и качественно не пройти. Поэтому во время прохождения курса wapt, подготовка будет продолжаться.

 

[g00db0y]

Поэтому во время прохождения курса wapt, подготовка будет продолжаться.

Думаю вряд-ли вы будете все успевать, задания поистине трудные.

 

[biizon]

Думаю вряд-ли вы будете все успевать, задания поистине трудные.

Дорогу осилит идущий. Спасибо, будем стараться)

Небольшой отчет за прошедшую неделю.

• Прошел Pentestit lab 14 по видео, на 45% . Подобные прохождения "набивают руку".
• Читаю книгу "Компьютерные сети. Нисходящий подход". Всем начинающим советую. Подробно расписано о каждом уровне модели OSI.

Интервью пентестера, программиста о том, с чего начать. Смотреть.
Блог Kaimi. Обзор сертификатов в ИБ.

Ссылка скрыта от гостей

 

[Salamandra3]

Идея действительно хорошая, на ютубе кстати много курсов по системному администратированию на недельки 2 точно хватит. Я, к примеру, долго в некоторые вещи не врубался, но если брать разных авторов и начиная с автора 2-3 смотреть на настройках быстрой скорости, то можно закрепить знания и то, чего не понимал - понять) Но практика всегда лучше теории.

 

[v1gman]

Что-то уже давно информации о твоём обучении не было
Уже успел перегореть и прекратил ?)

 

[biizon]

Согласен, долго не отписывал, в скором времени буду стараться писать систематически.
Тему не забросил, но продвижение далеко от плана. Есть огромные проблемы со свободным временем.

1. За это время, проходил курс wapt от codeby, до экзамена не дошел, буду продлять, но чуть позже, нужно подготовиться лучше. Таски решаются, только вопрос во времени и усердии. Если опыт на нуле, то усердие требуется в достатке Дошел до системных уязвимостей, осталось одно задание, чтобы продвигаться дальше. По набранным баллам, это чуть меньше половины. Максимально набрано на потоке 3800.

2. Начал изучать python, в приложении SoloLearn. Там есть бесплатное обучение и платное, с дополнительными заданиями. Попробовал месяц и пробный период. Прошел несколько вводных модулей по строкам, переменным, циклам. Есть желание изучать. Теорию и видео найти не проблема, чтобы практиковаться по заданиям, нужно найти что-то удобное, чтобы можно было работать через смартфон.
3. Немного отвлекся и начал изучать тему сетевых приманок (honeypot, deception). Ранее сталкивался с темой. Есть несколько идей.

Вроде бы в теме, но нет системы постоянного развития и самое главное времени. В скором времени поправлю и обновлю свой план.

Что-то уже давно информации о твоём обучении не было
Уже успел перегореть и прекратил ?)

 

[v1gman]

Согласен, долго не отписывал, в скором времени буду стараться писать систематически.
Тему не забросил, но продвижение далеко от плана. Есть огромные проблемы со свободным временем.

1. За это время, проходил курс wapt от codeby, до экзамена не дошел, буду продлять, но чуть позже, нужно подготовиться лучше. Таски решаются, только вопрос во времени и усердии. Если опыт на нуле, то усердие требуется в достатке Дошел до системных уязвимостей, осталось одно задание, чтобы продвигаться дальше. По набранным баллам, это чуть меньше половины. Максимально набрано на потоке 3800.

Посмотреть вложение 47002


2. Начал изучать python, в приложении SoloLearn. Там есть бесплатное обучение и платное, с дополнительными заданиями. Попробовал месяц и пробный период. Прошел несколько вводных модулей по строкам, переменным, циклам. Есть желание изучать. Теорию и видео найти не проблема, чтобы практиковаться по заданиям, нужно найти что-то удобное, чтобы можно было работать через смартфон.
3. Немного отвлекся и начал изучать тему сетевых приманок (honeypot, deception). Ранее сталкивался с темой. Есть несколько идей.

Вроде бы в теме, но нет системы постоянного развития и самое главное времени. В скором времени поправлю и обновлю свой план.

А сети когда изучать будешь ?
Это тоже очень и очень важно
Могу даже покидать много разных ссылок

 

[biizon]

Параллельно. Базовые знания есть, но требуют обновления и закрепления. Сети это святое

Буду вам благодарен, если вы поделитесь ссылками.

 

[v1gman]

Параллельно. Базовые знания есть, но требуют обновления и закрепления. Сети это святое

Буду вам благодарен, если вы поделитесь ссылками.

окей, тогда пойду собирать ссылки, чутка позже всё скину и объясню в каком порядке
может быть, это кому-то тоже поможет)

 

[v1gman]

Решил я написать мини-статью, так скажем)
Если вдруг кому-то надо, то ссылайтесь на мою мини-статейку)

Начнём с того, что на форуме есть два основных roadmap'а
Первый - от пользователя @DSec-56B12. Собственно сама статья - Welcome to the club, buddy! Или как начать свой путь в ИБ?
Второй роадмап уже будет от меня - Roadmap для пентестера (её стоит немного переработать, но основное там имеется)
В обоих roadmap'ах есть главы про сети.

А теперь про сети:
1) Начну с очень полезного плей-листа от Андрея Созыкина - плей-лист
Описание: автор даёт основы по сетям, разжёвывая каждую тему так, чтобы это мог понять даже имбицил. Плей-лист даст вам основы, после которых вы сможете спокойно читать книги по сетям. Беру в пример того же Таненбаума.

2) У того же автора (Андрея Созыкина) есть ещё один плей-лист, называется он "Компьютерные сети. Продвинутые темы" - плей-лист
Описание: в этом плей-листе уже идёт более детальное описание разных тяжёлых тем для понимания.

3) Опять таки у того же автора имеется плей-лист под названием "Практика по курсу "Компьютерные сети" " - плей-лист
Описание: в этом же плей-листе автор работает с Wireshark'ом, показывая, как работают сети на примере. Так как сети - всё же абстрактность.

4) Да, в очередной раз тот же Созыкин)) На этот раз идёт объяснение уже защищённых протоколов, таких как, например, TLS/SSL - плей-лист
Описание: ну, собственно тут он говорит о защищённых протоколах шифрования, не входящих в основы сетей, но их всё же стоит понимать, и знать, как они работают.

5) Так же есть немалое количество статей на хабре

Статьи

Основы компьютерных сетей. Тема №1. Основные сетевые термины и сетевые модели
Основы компьютерных сетей. Тема №2. Протоколы верхнего уровня
Основы компьютерных сетей. Тема №3. Протоколы нижних уровней (транспортного, сетевого и канального)
Основы компьютерных сетей. Тема №4. Сетевые устройства и виды применяемых кабелей
Основы компьютерных сетей. Тема №5. Понятие IP адресации, масок подсетей и их расчет
Основы компьютерных сетей. Тема №6. Понятие VLAN, Trunk и протоколы VTP и DTP
Основы компьютерных сетей. Тема №7. Протокол связующего дерева: STP
Основы компьютерных сетей. Тема №8. Протокол агрегирования каналов: Etherchannel
Основы компьютерных сетей. Тема №9. Маршрутизация: статическая и динамическая на примере RIP, OSPF и EIGRP

6) Для всех новичков и тех, кто хочет прокачать\улучшить свои скиллы ниже представлен пак совсем свежих апдейтенных самой Академией Cisco различных статей и видео-уроков по сетевым технологиям (Тренинг Cisco 200-125 CCNA v3.0). Это именно та база, которую должен знать каждый!

Список ссылок

Оглавление:
[часть 1] Тренинг Cisco 200-125 CCNA v3.0. Сертифицированный сетевой специалист Cisco (ССNA). День 1. Основы сети
[часть 2] Тренинг Cisco 200-125 CCNA v3.0. Сертифицированный сетевой специалист Cisco (ССNA). День 2. Модели OSI и TCP-IP
[часть 3] Тренинг Cisco 200-125 CCNA v3.0. Сертифицированный сетевой специалист Cisco (ССNA). День 3. Подсети
[часть 4] Тренинг Cisco 200-125 CCNA v3.0. Сертифицированный сетевой специалист Cisco (ССNA). День 4. Межсетевые устройства
[часть 5] Тренинг Cisco 200-125 CCNA v3.0. День 5. Подключение устройств CISCO и режимы IOS
[часть 6] Тренинг Cisco 200-125 CCNA v3.0. День 6. Заполняем пробелы (DHCP, TCP, «рукопожатие», распространенные номера портов)
[часть 7] Тренинг Cisco 200-125 CCNA v3.0. День 7. F.A.Q
[часть 8] Тренинг Cisco 200-125 CCNA v3.0. День 8. Настройка свитча
[часть 9] Тренинг Cisco 200-125 CCNA v3.0. День 9. Физический мир свитчей. Часть 1
[часть 10] Тренинг Cisco 200-125 CCNA v3.0. День 10. Режимы работы портов свитча
[часть 11] Тренинг Cisco 200-125 CCNA v3.0. День 11. Основы VLAN
[часть 12] Тренинг Cisco 200-125 CCNA v3.0. День 12. Углубленное изучение VLAN
[часть 13] Тренинг Cisco 200-125 CCNA v3.0. День 13. Настройка VLAN

Оригинал видео-уроков на YouTube [ENG]

https://www.youtube.com/playlist?list=PLh94XVT4dq02frQRRZBHzvj2hwuhzSByN

7) Также я скидывал курс по сетям, но администрация решила засунуть его в приватный контент (хотя я был против. я всё же за бесплатный и открытый контент). Ссылка на курс (ссылка ведёт не на раздел "книги". это прямая ссылка на курс) -

Ссылка скрыта от гостей

8) А что у нас по книжкам ? Думаю, что смысла нет просто копировать главу из моей статьи, поэтому просто порекомендую зайти на неё (статья)
Могу ещё порекомендовать, как первую книгу по сетям - Компьютерные сети. Нисходящий подход

9) Практика: советую как можно больше практиковаться. Для этого есть cisco packet tracer, хотя я бы всё же порекомендовал обратить свой взор на eve-ng. Как по мне, он будет куда удобнее. Есть множество курсов на том же ютубе и в гугле

10) Если есть возможность устроиться работать сис. админом, то вперёд. Всё же пощупать своими лапками будет куда лучше) К тому же, если в компании, в которой вы, возможно, будете работать имеется cisco оборудование, то это большой плюс в ваше резюме, да и не только.

Ну, и как я всегда говорил, практика, практика, и ещё раз практика!
Удачи в обучение

 

[DSec-56B12]

Приветствую, увидел, что упомянули меня тут, решил тоже свои 5 копеек вставить) В целом, задумка сделать бложик с готовым анализом пройденного материала, является очень годной, можно разжевать материал, закрыть все не точности и неясности) Плюс при таком перерабатывание материала, усваивание идет еще лучше. Но есть всегда НО, и первое, которое сразу выплыло, это количество времени на данную задумку, у самого были идеи, сделать что-то похожее, но регулярность отчетов была раз в месяц, в лучшем случае, ибо материала много, плюс накладываются жизненные планы, и все сдвигается, и графика тут не выстроишь, только копить материал, компоновать и выкладывать большой кучей в большие промежутки времени. А так план составленный изначальный, больше подходит под базу, каждый должен под себя сделать, что-то убрать, что-то добавить. Но по итогу задумка хорошая, и полезная, так что желаю автору по больше времени и сил на изучение материала, и покорение новых вершин в своих начинаниях!)

 

[v1gman]

Приветствую, увидел, что упомянули меня тут, решил тоже свои 5 копеек вставить) В целом, задумка сделать бложик с готовым анализом пройденного материала, является очень годной, можно разжевать материал, закрыть все не точности и неясности) Плюс при таком перерабатывание материала, усваивание идет еще лучше. Но есть всегда НО, и первое, которое сразу выплыло, это количество времени на данную задумку, у самого были идеи, сделать что-то похожее, но регулярность отчетов была раз в месяц, в лучшем случае, ибо материала много, плюс накладываются жизненные планы, и все сдвигается, и графика тут не выстроишь, только копить материал, компоновать и выкладывать большой кучей в большие промежутки времени. А так план составленный изначальный, больше подходит под базу, каждый должен под себя сделать, что-то убрать, что-то добавить. Но по итогу задумка хорошая, и полезная, так что желаю автору по больше времени и сил на изучение материала, и покорение новых вершин в своих начинаниях!)

Полностью согласен. Особенно с тем, что определённого метода обучения для каждого не имеется.

 

[pedro]

Решил я написать мини-статью, так скажем)
Если вдруг кому-то надо, то ссылайтесь на мою мини-статейку)

Начнём с того, что на форуме есть два основных roadmap'а
Первый - от пользователя @DSec-56B12. Собственно сама статья - Welcome to the club, buddy! Или как начать свой путь в ИБ?
Второй роадмап уже будет от меня - Roadmap для пентестера (её стоит немного переработать, но основное там имеется)
В обоих roadmap'ах есть главы про сети.

А теперь про сети:
1) Начну с очень полезного плей-листа от Андрея Созыкина - плей-лист
Описание: автор даёт основы по сетям, разжёвывая каждую тему так, чтобы это мог понять даже имбицил. Плей-лист даст вам основы, после которых вы сможете спокойно читать книги по сетям. Беру в пример того же Таненбаума.

2) У того же автора (Андрея Созыкина) есть ещё один плей-лист, называется он "Компьютерные сети. Продвинутые темы" - плей-лист
Описание: в этом плей-листе уже идёт более детальное описание разных тяжёлых тем для понимания.

3) Опять таки у того же автора имеется плей-лист под названием "Практика по курсу "Компьютерные сети" " - плей-лист
Описание: в этом же плей-листе автор работает с Wireshark'ом, показывая, как работают сети на примере. Так как сети - всё же абстрактность.

4) Да, в очередной раз тот же Созыкин)) На этот раз идёт объяснение уже защищённых протоколов, таких как, например, TLS/SSL - плей-лист
Описание: ну, собственно тут он говорит о защищённых протоколах шифрования, не входящих в основы сетей, но их всё же стоит понимать, и знать, как они работают.

5) Так же есть немалое количество статей на хабре

Статьи

Основы компьютерных сетей. Тема №1. Основные сетевые термины и сетевые модели
Основы компьютерных сетей. Тема №2. Протоколы верхнего уровня
Основы компьютерных сетей. Тема №3. Протоколы нижних уровней (транспортного, сетевого и канального)
Основы компьютерных сетей. Тема №4. Сетевые устройства и виды применяемых кабелей
Основы компьютерных сетей. Тема №5. Понятие IP адресации, масок подсетей и их расчет
Основы компьютерных сетей. Тема №6. Понятие VLAN, Trunk и протоколы VTP и DTP
Основы компьютерных сетей. Тема №7. Протокол связующего дерева: STP
Основы компьютерных сетей. Тема №8. Протокол агрегирования каналов: Etherchannel
Основы компьютерных сетей. Тема №9. Маршрутизация: статическая и динамическая на примере RIP, OSPF и EIGRP

6) Для всех новичков и тех, кто хочет прокачать\улучшить свои скиллы ниже представлен пак совсем свежих апдейтенных самой Академией Cisco различных статей и видео-уроков по сетевым технологиям (Тренинг Cisco 200-125 CCNA v3.0). Это именно та база, которую должен знать каждый!

Список ссылок

Оглавление:
[часть 1] Тренинг Cisco 200-125 CCNA v3.0. Сертифицированный сетевой специалист Cisco (ССNA). День 1. Основы сети
[часть 2] Тренинг Cisco 200-125 CCNA v3.0. Сертифицированный сетевой специалист Cisco (ССNA). День 2. Модели OSI и TCP-IP
[часть 3] Тренинг Cisco 200-125 CCNA v3.0. Сертифицированный сетевой специалист Cisco (ССNA). День 3. Подсети
[часть 4] Тренинг Cisco 200-125 CCNA v3.0. Сертифицированный сетевой специалист Cisco (ССNA). День 4. Межсетевые устройства
[часть 5] Тренинг Cisco 200-125 CCNA v3.0. День 5. Подключение устройств CISCO и режимы IOS
[часть 6] Тренинг Cisco 200-125 CCNA v3.0. День 6. Заполняем пробелы (DHCP, TCP, «рукопожатие», распространенные номера портов)
[часть 7] Тренинг Cisco 200-125 CCNA v3.0. День 7. F.A.Q
[часть 8] Тренинг Cisco 200-125 CCNA v3.0. День 8. Настройка свитча
[часть 9] Тренинг Cisco 200-125 CCNA v3.0. День 9. Физический мир свитчей. Часть 1
[часть 10] Тренинг Cisco 200-125 CCNA v3.0. День 10. Режимы работы портов свитча
[часть 11] Тренинг Cisco 200-125 CCNA v3.0. День 11. Основы VLAN
[часть 12] Тренинг Cisco 200-125 CCNA v3.0. День 12. Углубленное изучение VLAN
[часть 13] Тренинг Cisco 200-125 CCNA v3.0. День 13. Настройка VLAN

Оригинал видео-уроков на YouTube [ENG]

https://www.youtube.com/playlist?list=PLh94XVT4dq02frQRRZBHzvj2hwuhzSByN

7) Также я скидывал курс по сетям, но администрация решила засунуть его в приватный контент (хотя я был против. я всё же за бесплатный и открытый контент). Ссылка на курс (ссылка ведёт не на раздел "книги". это прямая ссылка на курс) -

Ссылка скрыта от гостей

8) А что у нас по книжкам ? Думаю, что смысла нет просто копировать главу из моей статьи, поэтому просто порекомендую зайти на неё (статья)
Могу ещё порекомендовать, как первую книгу по сетям - Компьютерные сети. Нисходящий подход

9) Практика: советую как можно больше практиковаться. Для этого есть cisco packet tracer, хотя я бы всё же порекомендовал обратить свой взор на eve-ng. Как по мне, он будет куда удобнее. Есть множество курсов на том же ютубе и в гугле

10) Если есть возможность устроиться работать сис. админом, то вперёд. Всё же пощупать своими лапками будет куда лучше) К тому же, если в компании, в которой вы, возможно, будете работать имеется cisco оборудование, то это большой плюс в ваше резюме, да и не только.

Ну, и как я всегда говорил, практика, практика, и ещё раз практика!
Удачи в обучение

Это достойно отдельной статьи в принципе
Полноценный how to step-0-1

 

[v1gman]

Это достойно отдельной статьи в принципе
Полноценный how to step-0-1

Ну я уже делал роадмап, а там тоже была глава с сетями. Хотя тут подробнее, согласен. Если @The Codeby согласен на то, чтобы выпустить её в виде статьи, то без проблем сделаю