• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Конкурс План вкатывания в ИБ или как начать заниматься пентестингом и Bug Hunting на личном примере

Конкурс: Встречаем 2020 статьями по инфобезу

Всем Салам. Недавно в одном из инфосековских чатов натолкнулся на документ - “План вкатывания в Infosec”, в котором были какие-то общие советы, ссылки на полезные ресурсы и т.д. Данный мануал сподвиг меня написать данную статью, но тут будут не общие советы, а по моему скромному личному опыту, как это все проходило у меня и проходит по сей день. Сразу оговорюсь, что я не какой-то там СуперМегаПупер профессионал, а просто занимаюсь и развиваюсь в той области, которая доставляет мне удовольствие и деньги.

Начало

Хоть я и поступал на специальность “Информационная безопасность автоматизированных систем”, не думал, что буду заниматься вообще ИБ. Был сконцентрирован на программировании. Частично программированием занимаюсь по сей день, так же программирование очень полезно в ИБ для разных целей. По настоящему об ИБ и о том, что есть такое, как пентестинг, я узнал уже в через 2 года поступления в 2015 году, когда у нас в регионе впервые провели CTF - соревнования, где наша команда “CoolNull” выиграла. Но и после этого не было какого-то бешеного вливания в ИБ. Через пару месяцев я вовсе забыл обо всем этом и неплохо продвигался в программировании.

ezgif-6-14713a3ab403.gif


И вот через год, за пару месяцев до очередного CTF в 2017 году, я убедил одногруппника, что это интересно и мы начали уже активно готовиться, участвовать онлайн. И вот на оффлайн соревнованиях наша команда снова победила. После чего на 5 курсе мы довольно часто разъезжали по РФ по разным CTF-соревнованиям. Были и призовые, и позорные места. Параллельно я все еще занимался программированием, но удаленно.

В сентябре 2017 года, я также зарегистрировался на форуме Codeby. Изначально это было сделано с целью читателя и что-то поспрашивать на форуме. На тот момент хотелось понять и реализовать подмену DNS на роутере. И как раз это и был первый, небольшой ресерч, которым я после поделился на форуме. На форуме сильным мотиватором был апдейт, и, как вы можете заметить, сейчас я уже на самой последней ступени, где самая близкая команда форума. Большой плюс форума в том, что ты находишь таких же ребят, у которых горят глаза и они любят, то что делают.

1527711752636.png


И, исходя из всего этого, можно сказать, что, лично в моем случае, CTF - это тот катализатор, благодаря которому я начал заниматься ИБ, своего рода начальный толчок. CTF дает базовые знания в хакинге. Учит, как ковырять те или иные уязвимости, и все это в скопе с конкуренцией дает возможность заниматься этим с азартом.

Пентесты

Активно играл в CTF, подтягивал теорию, постоянно что-то изучал, писал статьи на Codeby, удаленно работал программистом. Так прошел примерно год, до апреля 2018 года. И вот, через пару месяцев выпускаюсь, неплохо было бы попробовать себя в роли пентестера. До этого я никогда не занимался тестированием на проникновение. Удачным стало третье собеседование. В первых двух, ЦАРКА и PT мне отказали. В итоге я удаленно начал работать с китайской конторой с окладом в $1300. В ЦАРКЕ и PT студенту, без опыта работы, вряд ли столько бы дали, да и еще удаленно работать. Поэтому в каком-то плане мне даже повезло, что не взяли. Так же, после 3 месяцев работы оклад подняли до $2000. Были только веб-пентесты в азиатском секторе. Там я получил свой первый коммерческий опыт работы пентестером.

По поводу тестовых заданий в ЦАРКЕ и PT были одни те же задания (после этого, недавно, несколько ребят обращались с этими заданиями: "Какие могут быть уязвимости?") . А вот у китайцев была интересная лаба в стиле CTF. Нужно было получить доступ к FTP. Не знаю, было ли там несколько вариантов, опишу тот, с помощью которого смог получить доступ я.
Была SQL - инъекция, через которую с помощью LOAD_FILE получалось читать локальные файлы. Пути я не знал, но получилось вызвать ошибки, где показались полные пути, там же был путь к конфигурационному файлу. В итоге получилось его прочитать, где были доступы к FTP.

ezgif-6-6dac4494d6a9.gif


В итоге с китайцами я проработал около 6 месяцев и на тот момент, в августе, я уже перебрался в Москву. В Москве, в сентябре, я начал работать с самым крутым вебером . Эти год и 3 месяца в были самыми эффективными в продвижении в пентестинге. За это время было проведено множество пентестов, несколько критикал багов на Bug Bounty, 2 небольших речерча - их можно прочитать Эксплуатация инъекций в ORM Doctrine (DQL). и Research Yandex.ClickHouse. Инъекции в столбцовом СУБД.
Также в свободное время беру проекты на субподряд. И вместе с Bug Bounty ими я занимаюсь чаще всего в специально отведенное время - это ночью с 00 до 03, а также в выходный день.

Пентесты, которыми занимаемся - разные, но в основном веб-пентесты. Но также иногда бывают и внутренние пентесты. Которые чаще всего проводятся по VPN. Подробно расписывать пентесты я не могу, но сделал примерную диаграмму по уязвимостям, которые чаще всего находятся на пентестах.
Вывод: для того, чтобы быстро расти в ИБ, нужны друзья, коллеги, энтузиасты, где будешь расти, делясь опытом и в конкуренции.

diag.png


Bug Hunting

h1.png


Кроме самой работы тестированием на проникновением, многим, наверное, будет интересно, как вообще начать сдавать баги на BugBounty. Никаких секретов на самом деле нет, нужно просто искать баги на разрешенных и сдавать их. Но вопрос в том, как повысить вероятность того, что ты найдешь в том или ином месте баг.
  1. Изучать один объект или несколько. То есть не нужно по всем программам прыгать. Нужно найти пару программ, еще лучше одну, и изучать ее. По своему личному опыту этот метод дает плоды, так как ты уже хорошо знаешь, как работает этот сервис.
  2. Детально изучать API, если есть. Так как многие это упускают, ленятся, а там скрыто много интересного.
  3. Попытаться получить доступ к тем местам, к которым нет доступа у всех. Например, админка для корпоративных клиентов или для партнеров.
  4. Автоматизировать процесс поиска новых поддоменов, перебор директорий, проверка на subdomain takeover. Безусловно, дает результат. Например, в конце декабря, таким образом, я обнаружил новый поддомен, где лежал .git/config с токеном от gitlab. Есть ребята, у кого все это очень серьезно автоматизировано, целые системы и поиск множества несложных багов. Например, у BlackFan, про свой проект как раз он рассказывал на .
  5. Использование автоматических сканеров. Имеет смысл, только если по нему не прошлись еще другие ребята. Но обычно в приватки приглашают ребят с большой репутацией, сейчас имею ввиду в hackerone, например, знакомый из топ 50 рассказывал, что на таких, только запущенных, проектах с помощью Acunetix и NetSparker у него получилось сделать около $60000 это за пару лет.
Как я писал в первом пункте, нужно изучать 1 программу, чем я занимался в последние 3 месяца 2019 года. Итог: за 3 месяца получилось подняться в топ 10 и заработано чуть больше $10000 в программе Mail.ru.

place.png


Подробнее про то, какие были баги можно прочитать в этих статьях: BruteForce, как недооцененный вид атаки (Account TakeOver) и

Рекомендации

Рекомендации я частично расписал по всей статье, тут поделюсь полезными ресурсами в области ИБ. И, определенно, это будут не все ресурсы, и если кто-то знает что-то полезное, еще и компетентен в данном вопросе, можете скинуть в комментарии.

Также хотелось бы сказать, что продвигаться самому в одиночку, с самого нуля, можно, но это долго и сложно, особенно если ты уже работаешь где-то. Если нет много времени, то можно также записаться на наш курс WAPT, где вся информация структурирована, есть практика, и самое главное - инструкторы, которые в случае чего будут подсказывать.
 

noted

Green Team
08.12.2019
107
14
BIT
0
Немного критики.
Открыв статью "План вкатывания в ИБ или как начать заниматься пентестингом" обрадовался. Ух, да это вроде как, что-то похожее на гайд для начинающего специалиста!
Начало говорило само за себя ©" но тут будут не общие советы, а по моему скромному личному опыту, как это все проходило у меня и проходит по сей день."
НО... далее пошел полный крах
сразу оговорюсь, оцениваю статью как молодой специалист, который жаждет узнать больше именно о вкатывании в ИБ (на что вроде и направлена статья)
1). © "Был сконцентрирован на программировании. программирование очень полезно в ИБ для разных целей." - какие ЯП? Чем пригодились именно на вкатывании?
2). © " впервые провели CTF - соревнования, где наша команда “CoolNull” выиграла" - Что помогло выиграть? знания которые дал ВУЗ? Каких скилов изначально не хватило? Что пришлось подтянуть для CTF? (сам закончил ВУЗ по ИБ и участвую в CTF, может быть не тот ВУЗ у меня был, но не представляю как без ночных залипаний на форумах по ночам, можно участвовать в CTF, а тем более выиграть). Сразу сюда можно добавить и вопрос, что подтягивали самостоятельно? Имеется ввиду критичная информация без которой в пентест не попадешь.
3). Собеседования - Что нестандартного спрашивали? С чем столкнулись? Что решили подтянуть? Где искали? Как в итоге нашили то что нужно? - ладно это увидел в комментариях, но все же это тоже значимый вопрос для молодых.
4). © "я проработал около 6 месяцев .... Эти год и 3 месяца" – интересны выводы из этого (тем более рассматриваем личный пример), Какие скилы реально пригодились ( имею в виду программирование раз вы им занимались), что пришлось подтягивать в срочном порядке? НЕОБХОДИМО БОЛЬШЕ ИНФОРМАЦИИ. Возможно, у читателя есть пробелы в знаниях, и это хотелось бы узнать, проанализировав статью практикующего писателя.
5). Раз уж затронули BugBounty.
Интересен первый опыт сдачи бага - было ли это случайно? или большой кропотливый труд? сколько времени потратили и вообще сколько времени нужно уделять для "Итог: за 3 месяца получилось подняться в топ 10 и заработано чуть больше $10000 в программе Mail.ru."? Опять же интересен опыт практики.
З.Ы. Раз уж вы сказали что, это "не общие советы" - то хотелось бы информативности именно в Вашем случае. Иначе эта статья называется не корректно. Это не «план», а краткая биография с рекомендациями (наверное единственный полезный абзац). Ну и на конкурсную статью ни как не тянет. Похожего плана биографии я встречал и раньше в интернете, единственная разница, это использование именно вашей истории.
 

r0hack

DAG
Platinum
29.09.2017
522
1 088
BIT
0
Немного критики.
Открыв статью "План вкатывания в ИБ или как начать заниматься пентестингом" обрадовался. Ух, да это вроде как, что-то похожее на гайд для начинающего специалиста!
Начало говорило само за себя ©" но тут будут не общие советы, а по моему скромному личному опыту, как это все проходило у меня и проходит по сей день."
НО... далее пошел полный крах
сразу оговорюсь, оцениваю статью как молодой специалист, который жаждет узнать больше именно о вкатывании в ИБ (на что вроде и направлена статья)
1). © "Был сконцентрирован на программировании. программирование очень полезно в ИБ для разных целей." - какие ЯП? Чем пригодились именно на вкатывании?
2). © " впервые провели CTF - соревнования, где наша команда “CoolNull” выиграла" - Что помогло выиграть? знания которые дал ВУЗ? Каких скилов изначально не хватило? Что пришлось подтянуть для CTF? (сам закончил ВУЗ по ИБ и участвую в CTF, может быть не тот ВУЗ у меня был, но не представляю как без ночных залипаний на форумах по ночам, можно участвовать в CTF, а тем более выиграть). Сразу сюда можно добавить и вопрос, что подтягивали самостоятельно? Имеется ввиду критичная информация без которой в пентест не попадешь.
3). Собеседования - Что нестандартного спрашивали? С чем столкнулись? Что решили подтянуть? Где искали? Как в итоге нашили то что нужно? - ладно это увидел в комментариях, но все же это тоже значимый вопрос для молодых.
4). © "я проработал около 6 месяцев .... Эти год и 3 месяца" – интересны выводы из этого (тем более рассматриваем личный пример), Какие скилы реально пригодились ( имею в виду программирование раз вы им занимались), что пришлось подтягивать в срочном порядке? НЕОБХОДИМО БОЛЬШЕ ИНФОРМАЦИИ. Возможно, у читателя есть пробелы в знаниях, и это хотелось бы узнать, проанализировав статью практикующего писателя.
5). Раз уж затронули BugBounty.
Интересен первый опыт сдачи бага - было ли это случайно? или большой кропотливый труд? сколько времени потратили и вообще сколько времени нужно уделять для "Итог: за 3 месяца получилось подняться в топ 10 и заработано чуть больше $10000 в программе Mail.ru."? Опять же интересен опыт практики.
З.Ы. Раз уж вы сказали что, это "не общие советы" - то хотелось бы информативности именно в Вашем случае. Иначе эта статья называется не корректно. Это не «план», а краткая биография с рекомендациями (наверное единственный полезный абзац). Ну и на конкурсную статью ни как не тянет. Похожего плана биографии я встречал и раньше в интернете, единственная разница, это использование именно вашей истории.
Хорошие замечания.
1) логично, что находить нужно уязвимости в коде, поэтому э, если знаешь, будет легче.
2) не совсем понял
3) тут согласен, может позже опишу отдельно, разберу тестовые задания
4) тут можно не одну статью написать
5) по багбаунти, там есть о ссылки на 2 мои статьи, где я все подробно описывал.
З.Ы. а на конкурсную тянет на все 100)
 

noted

Green Team
08.12.2019
107
14
BIT
0
Хорошие замечания.
1) логично, что находить нужно уязвимости в коде, поэтому э, если знаешь, будет легче.
2) не совсем понял
3) тут согласен, может позже опишу отдельно, разберу тестовые задания
4) тут можно не одну статью написать
5) по багбаунти, там есть о ссылки на 2 мои статьи, где я все подробно описывал.
З.Ы. а на конкурсную тянет на все 100)
Попробую немного пояснить мысль:
1. Конечно, это логично так же как и то, что знание скриптовых языков поможет писать скрипты) Но. Вопрос какие ЯП изучал, на каком уровне и что реально пригодилось. Например, можно изучать C++, но на том же HTB тебе как правило нужен будет python. И тут либо искать кейсы с C++ либо кодить на другом языке. Я не имею в виду "прочитать код", я говорю про глубокое программирование. И вопросы заключаются в практическом применении, на сколько пригодилось? как часто ловишь себя на мысли "хорошо, что я шарю в программировании"? А самое главное критичны ли эти знания в начале карьеры или только бонус? и насколько большой этот бонус?
2. Да здесь наверное чисто моя придирка. Просто если это гайд вкатывания в пентест, его (как правило) будут читать новички. Что такое CTF пускай конечно гуглят сами, но наверное, необходимо уточнить какие знания нужны (или пригодились) для CTF (раз уж об этом упоминается). Хотя бы общие (не все же учатся в ВУЗах на ИБ) по типу - залитие шелла, повышение привилегий ... а например анализ конфигурации оборудования или настройки сервера? реверс кода? какие знания пригодились? какие пришлось подтянуть? опять же пример на Вашей практике.
4. Информации понятное дело много, но для начала интересуют критичные моменты. Например (беру первое что на ум приходит) очень часто приходилось на практике заниматься реверсом, этот момент пришлось изучать более детально. Все знать не реально, и поэтому на примере Вашего опыта и хочется узнать такие вещи.

возможно расписал несколько сумбурно, но надеюсь смысл донес.
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 187
BIT
0
а ну давайте все дружно про госуем за автора маннуала и чую он нам обяз будет написать при победе есс-но все тонкости и подводные камни данной тематики)) я лично за тебя +-анул!
 

Dit81

One Level
21.07.2019
9
1
BIT
0
Подскажи плиз,а как ты вышел на эту контору? Я имею ввиду опыт поиска работы с буржем удалено. За ранее благодарю.
Был свой опыт поиска работы, добавил резюме на hh. И потом несколько контор сами мне писали с предложением работы и т.п. Главное указывать свои реальные навыки и скилы
 
  • Нравится
Реакции: Gunn1110

Persian

Green Team
31.07.2018
10
7
BIT
0
В качастве дополнения оставлю это для тех кто ищет CTF площадки.
- на сайте собрано 61 активных сайтов с CTF задачами (включая HackTheBox, Root-me и др.).
Для каждого сайта указана сложность заданий и каждый из них можно подключить к аккаунту WeChall для объединения счета.
 

Gunn1110

Green Team
01.03.2017
25
1
BIT
1
В итоге я удаленно начал работать с китайской конторой с окладом в $1300.
Я извиняюсь,если не секрет в чем заключалась работа с компанией: пентестинг сайтов, серверов или просто приложений? А может еще что? За ранее благодарю.
 

v1gman

Green Team
31.07.2020
495
524
BIT
23
Хоть статья и старая, но всё же вполне интересная
Да, прозвучала реклама вапта, но, как по мне, это не имеет значения
Хотя я всё же рассматриваю данную статью, как некую автобиографию
 

nks1ck

Green Team
02.11.2020
223
106
BIT
0
Неплохо, подметил пару ссылок для себя. А "начало" - полное описание меня в данный момент:)
 

Gray Ghost

Green Team
29.10.2019
112
50
BIT
0
Да, статья захватывающая. Верно подмечено в Росси без опыта $1200 вряд-ли кто даст.
 

Pozitiff2018

Member
13.07.2019
5
0
BIT
0
Странно, в телеге только сегодня получил пост на эту статью больше 1.5 года давности, но все равно спасибо.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!